TYPO3 es un gestor CMS web e intranet, enfocado al nivel empresarial, situándose por detrás de Drupal o Joomla a nivel de uso, según las estadísticas W3Techs.
Cuatro de las vulnerabilidades descubiertas son críticas por su impacto:
* Cross-Site Scripting: un fallo a la hora de tratar las URLs en la propiedad 'JSWindow' de la función 'typolink', podría permitir (en la configuración por defecto) la ejecución de código script.
* Revelación de información: mediante el uso de la propiedad "getText" de los títulos en los contenidos, es posible recabar información de la base de datos de TYPO3.
* Denegación de servicio: los editores del Backend serían capaces de borrar ficheros arbitrarios del servidor web, debido a la incorrecta serialización de los datos.
* Falta de políticas de acceso: usuarios del Backend serían capaces de ejecutar cualquier componente ExtDirect sin tener asociación previa.
Se recomienda actualizar TYPO3 a las versiones 4.3.12, 4.4.9 o 4.5.4 según corresponda.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4671/comentar
Más inromación:
TYPO3-CORE-SA-2011-001: Multiple vulnerabilities in TYPO3 Core
http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2011-001/
Usage Statistics and Market Share of Typo3 for Websites, August 2011
http://w3techs.com/technologies/details/cm-typo3/all/all
Fuente:
José Mesa Orihuela
jmesa@hispasec.com
Laboratorio Hispasec
www.hispasec.com
Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
