TYPO3 页面树中的信息泄露(CVE-2024-47780)
CVE编号
CVE-2024-47780利用情况
暂无补丁情况
N/A披露时间
2024-10-09漏洞描述
这是一个关于开源内容管理框架TYPO3的安全漏洞描述。后端用户可能能够在后端页面树中看到某些项目,即使他们没有访问权限。这种情况发生在挂载点指向限制其用户/用户组的页面时,或者在未配置任何挂载点但页面允许所有人访问的情况下。然而,受影响用户无法对这些页面进行操纵。建议用户更新到修复了此问题的TYPO3版本,包括版本 10.4.46 ELTS、 11.5.40 LTS、 12.4.21 LTS 和 13.3.1。目前尚无已知的解决方案来解决此漏洞。解决建议
"将组件 typo3/cms-backend 升级至 12.4.21 及以上版本""将组件 typo3/cms-backend 升级至 13.3.1 及以上版本""将组件 typo3/cms-backend 升级至 11.5.40 及以上版本"
参考链接 |
|
|---|---|
| https://github.com/TYPO3/typo3/security/advisories/GHSA-rf5m-h8q9-9w6q | |
| https://typo3.org/security/advisory/typo3-core-sa-2024-012 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-863 | 授权机制不正确 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论