漏洞信息详情
TYPO3 Yet Another Gallery扩展和Tools for Extbase development扩展权限许可和访问控制漏洞
- CNNVD编号:CNNVD-201402-259
- 危害等级: 中危
- CVE编号: CVE-2014-6289
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2014-02-21
- 威胁类型: 远程
- 更新时间: 2014-10-09
- 厂 商: daniel_lienert
- 漏洞来源: Andrea Schmutterma...
漏洞简介
TYPO3是瑞士TYPO3协会维护的一套免费开源的内容管理系统(框架)(CMS/CMF)。Yet Another Gallery(yag)Extension是其中的一个图库扩展插件;Tools for Extbase development(pt_extbase)Extension是其中的一个收集Extbase开发工具的插件。
TYPO3 Yet Another Gallery(yag)扩展3.0.0及之前版本和Tools for Extbase development(pt_extbase)扩展1.5.0及之前版本的Ajax dispatcher for Extbase中存在安全漏洞。远程攻击者可利用该漏洞绕过访问限制,执行任意控制器操作。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2014-005/
参考网址
来源:typo3.org
链接:http://typo3.org/extensions/repository/view/yag
来源:typo3.org
链接:http://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2014-005/
来源:typo3.org
链接:http://typo3.org/extensions/repository/view/pt_extbase
来源: BID
链接:http://www.securityfocus.com/bid/65550
受影响实体
- Daniel_lienert Yet_another_gallery:3.0.0:~~~Typo3~~
补丁
- yag_3.0.1
- pt_extbase_1.5.1
评论