Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

10/09/2013

Evasió de la seguretat en TYPO3

S’ha informat de diverses vulnerabilitats en TYPO3, que podrien ser aprofitades per usuaris maliciosos per a eludir determinades restriccions de seguretat.

S’ha informat de diverses vulnerabilitats en TYPO3, que podrien ser aprofitades per usuaris maliciosos per a eludir determinades restriccions de seguretat.

1. Alguns errors quan es realitzen accions amb arxius poden ser aprofitats per a evitar les restriccions de permisos, per exemple, crear o llegir arxius arbitraris dins o fora de directori web.
2. Un error quan es validen noms d’arxius en la funció de reanomenament pot ser explotat per a evadir la comprovació de l’extensió de l’arxiu i inserir caràcters especials, per exemple, per a reanomenar arxius perquè tinguen l’extensió PHP.

Per a explotar amb èxit esta vulnerabilitat, es requerixen permisos d’editor.

La vulnerabilitat està provocada per una correcció incompleta de CVE-2013-4250.

Per a més informació, vegeu la vulnerabilitat 3 en:
SA53529

Les vulnerabilitats estan reportades per a versions anteriors a 6.0.9 i 6.1.4.

Sistemes Afectats:

TYPO3 6.x 

Referències:

None

Solució:

Actualitzar a la versió 6.0.9 i 6.1.4.

Notes:

TYPO3-CORE-SA-2013-003:
http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2013-003/ 

CSIRT-CV