Yukarı akış paketindeki sorunun ayrıştırılmasıyla ortaya çıkan hata
Saygın açık kaynaklı içerik yönetim sistemi (CMS) TYPO3’ün koruyucuları, bir dizi yazılım güncellemesiyle bir siteler arası komut dosyası oluşturma (XSS) kusurunu düzeltti.
PHP paketi typeo3/html-sanitizer’ın XSS mekanizması, yukarı akış paketi masterminds/html5’teki bir ayrıştırma sorunu nedeniyle atlandı, burada “özel HTML yorumlarıyla bir dizide kullanılan kötü amaçlı bir işaretleme filtrelenemez ve temizlenemez”, yayınlanan bir GitHub tavsiyesi açıkladı Salı (13 Eylül).
Bu sorun 7.6.58, 8.7.48, 9.5.37, 10.4.32 ve 11.5.16 typeo3/cms-core’da düzeltildi. Bu yayın satırlarındaki tüm önceki sürümler etkilenir.
KAÇIRMAYIN WordPress projesi WPHash, savunmasız eklentileri tespit etmek için 75 milyon hash toplar
Kullanıcı etkileşimi gerekli olduğunda, hata yalnızca orta şiddette olarak sınıflandırılır ve 6.1’lik bir CVSS puanı alır.
Bununla birlikte, mütevazı bir pazar payıyla bile, TYPO3 çok sayıda aktif kurulumdan sorumludur.
1997’de piyasaya sürülen ücretsiz CMS, CMS pazarının %2,43’üne sahiptir ve bu da %46’sı Almanya’da bulunan 230.000’den fazla müşteriye karşılık gelir.
Yaklaşık 900 üyesi olan TYPO3 Derneği, bağışlar ve üyelik abonelikleri yoluyla gelişimi finanse ediyor.
Hata keşfinin kredisi güvenlik araştırmacısı David Klein’a gidiyor. Oliver HaderTYPO3 güvenlik ekibi lideri ve çekirdek geliştirici, yamayı geliştirdi.
ÖNERİLEN WordPress Core özelliğindeki altı yıllık kör SSRF güvenlik açığı, DDoS saldırılarını etkinleştirebilir