漏洞信息详情

TYPO3 文件上传命令执行漏洞

• CNNVD编号：CNNVD-200911-007
• 危害等级： 中危
  
• CVE编号： CVE-2009-3631
• 漏洞类型： 代码注入
• 发布时间： 2009-11-02
• 威胁类型： 远程
• 更新时间： 2009-11-03
• 厂        商： typo3
• 漏洞来源： Stefan Schuler, St...

漏洞简介

TYPO3是基于PHP4/PHP5+MySql的开源内容管理系统和内容管理框架。 由于TYPO3对上传的文件时没有进行适当的审查，导致TYPO3存在文件上传命令执行漏洞。带有有效的后端登录远程攻击者可以通过使用第三方扩展上传带有恶意文件名的文件，执行任意shell命令。

漏洞公告

厂商目前已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://prdownloads.sourceforge.net/typo3/dummy-4.2.10.zip?download

参考网址

来源: VUPEN

名称: ADV-2009-3009

链接:http://www.vupen.com/english/advisories/2009/3009

来源: BID

名称: 36801

链接:http://www.securityfocus.com/bid/36801

来源: typo3.org

链接:http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-016/

来源: XF

名称: typo3-uploads-command-execution(53923)

链接:http://xforce.iss.net/xforce/xfdb/53923

来源: SECUNIA

名称: 37122

链接:http://secunia.com/advisories/37122

来源: MLIST

名称: [oss-security] 20091023 Re: CVE id request: typo3

链接:http://marc.info/?l=oss-security&m=125632856206736&w=2

受影响实体

• Typo3 Typo3:4.0.9  
• Typo3 Typo3:4.0.12  
• Typo3 Typo3:4.0.8  
• Typo3 Typo3:4.0.6  
• Typo3 Typo3:4.0.7  

补丁

暂无