NCSC-2021-0630 [1.00] [M/H] Kwetsbaarheden verholpen in Typo3

De ontwikkelaars van Typo3 hebben kwetsbaarheden verholpen in Typo3 Core. De kwetsbaarheden stellen een kwaadwillende in staat om Cross-site-Scripting (XSS) aanvallen uit te voeren. Dergelijke aanvallen kunnen leiden tot het uitvoeren van willekeurige scriptcode in de context van de browser van het slachtoffer. Om een dergelijke aanval uit te kunnen voeren, dient de kwaadwillende te beschikken over een backend-account. De kwetsbaarheid met kenmerk CVE-2021-32767 kan leiden tot het verkrijgen van gevoelige gegevens. Wanneer Typo is geconfigureerd om logfiles op 'debug' mode aan te maken, worden gebruikersnamen en wachtwoorden in klare taal opgeslagen in de log. Deze 'debug' mode is geen standaard configuratie en moet expliciet worden geactiveerd.
ncsc
20-07-2021 18:24