Vulnerabilità: CVE-2020-26216

TYPO3 Fluid prima le versioni 2.0.8, 2.1.7, 2.2.4, 2.3.7, 2.4.4, 2.5.11 e 2.6.10 è vulnerabile a Cross-Site Scripting. vulnerabilità XSS tre sono stati rilevati nel fluido: 1. TagBasedViewHelper consentito XSS attraverso additionalAttributes array malevoli creando tasti con quotazioni attributo-chiusura seguita da HTML. Durante il rendering tali attributi, TagBuilder non sfuggire le chiavi. 2. ViewHelpers che hanno usato il tratto CompileWithContentArgumentAndRenderStatic, e che ha dichiarato escapeOutput = false, avrebbe ricevuto l’argomento contenuto in formato escape. 3. Le sottoclassi di AbstractConditionViewHelper avrebbero ricevuto gli argomenti allora e altro in formato escape. Update per le versioni 2.0.8, 2.1.7, 2.2.4, 2.3.7, 2.4.4, 2.5.11 o 2.6.10 di questo pacchetto typo3fluid / fluido che risolvere il problema descritto. Maggiori dettagli sono disponibili nella consulenza legata.


https://github.com/TYPO3/Fluid/security/advisories/GHSA-hpjm-3ww5-6cpf
https://github.com/TYPO3/Fluid/security/advisories/GHSA-hpjm-3ww5-6cpf
https://github.com/TYPO3/Fluid/commit/f20db4e74cf9803c6cffca2ed2f03e1b0b89d0dc
https://github.com/TYPO3/Fluid/commit/f20db4e74cf9803c6cffca2ed2f03e1b0b89d0dc
https://typo3.org/security/advisory/typo3-core-sa-2020-009
https://typo3.org/security/advisory/typo3-core-sa-2020-009
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26216


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi