漏洞信息详情

TYPO3 Yet Another Gallery扩展和Tools for Extbase development扩展权限许可和访问控制漏洞

• CNNVD编号：CNNVD-201402-259
• 危害等级： 中危
  
• CVE编号： CVE-2014-6289
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2014-02-21
• 威胁类型： 远程
• 更新时间： 2014-10-09
• 厂        商： daniel_lienert
• 漏洞来源： Andrea Schmutterma...

漏洞简介

TYPO3是瑞士TYPO3协会维护的一套免费开源的内容管理系统(框架)(CMS/CMF)。Yet Another Gallery（yag）Extension是其中的一个图库扩展插件；Tools for Extbase development（pt_extbase）Extension是其中的一个收集Extbase开发工具的插件。

TYPO3 Yet Another Gallery(yag)扩展3.0.0及之前版本和Tools for Extbase development(pt_extbase)扩展1.5.0及之前版本的Ajax dispatcher for Extbase中存在安全漏洞。远程攻击者可利用该漏洞绕过访问限制，执行任意控制器操作。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2014-005/

参考网址

来源:typo3.org

链接:http://typo3.org/extensions/repository/view/yag

来源:typo3.org

链接:http://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2014-005/

来源:typo3.org

链接:http://typo3.org/extensions/repository/view/pt_extbase

来源: BID

链接:http://www.securityfocus.com/bid/65550

受影响实体

• Daniel_lienert Yet_another_gallery:3.0.0:~~~Typo3~~  

补丁

• pt_extbase_1.5.1
• yag_3.0.1