FreeBSD：typo3 -- TYPO3 Core 中的多种漏洞 (b9a347ac-8671-11e2-b73c-0019d18c446a)

high Nessus 插件 ID 65068

语言：

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Typo 安全团队报告：

Extbase Framework - 由于无法审查用户输入，Extbase 数据库抽象层容易受到 SQL 注入的影响。不影响未安装 Extbase 扩展的 TYPO3 站点。
Extbase 扩展如果使用查询对象模型，并且关系值是用户生成的输入，则 Extbase 扩展受到影响。感谢 Helmut Hummel 和 Markus Opahle 发现并报告该问题。

访问跟踪机制 - 如果不能验证用户提供的输入，则访问跟踪机制允许重定向到任意 URL。要修复此漏洞，必须打破使用访问跟踪机制（jumpurl 功能）将链接传输到外部站点的 TYPO3 站点的现有行为。已将链接生成更改为包含重定向到外部 URL 前检查的哈希。这意味着已分发（如通过新闻通讯分发）的旧链接不再有效。

解决方案

更新受影响的数据包。

另见

http://www.nessus.org/u?6092781d

http://www.nessus.org/u?a788df89

插件详情

严重性: High

ID: 65068

文件名: freebsd_pkg_b9a347ac867111e2b73c0019d18c446a.nasl

版本: 1.5

类型: local

系列: FreeBSD Local Security Checks

发布时间: 2013/3/7

最近更新时间: 2021/1/6

支持的传感器: Nessus

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:typo3, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2013/3/6

漏洞发布日期: 2013/3/6