Vulnerabilità: CVE-2020-26229

TYPO3 è un sistema open source PHP basato su web di gestione dei contenuti. In TYPO3 dalla versione 10.4.0, e prima della versione 10.4.10, RSS widget sono suscettibili di trasformazione entità esterna XML. Questa vulnerabilità è ragionevole, ma è teorico – non è stato possibile riprodurre in realtà la vulnerabilità con le versioni di PHP correnti di distribuzioni del sistema sostenuti e mantenuti. Almeno con libxml2 versione 2.9, l’elaborazione di enti esterni XML è disabilitato per impostazione predefinita – e non può essere sfruttata. Oltre a questo, è necessario un account utente backend valido. Aggiornamento alla versione TYPO3 10.4.10 per risolvere il problema descritto.


https://github.com/TYPO3/TYPO3.CMS/security/advisories/GHSA-q9cp-mc96-m4w2
https://github.com/TYPO3/TYPO3.CMS/security/advisories/GHSA-q9cp-mc96-m4w2
https://typo3.org/security/advisory/typo3-core-sa-2020-012
https://typo3.org/security/advisory/typo3-core-sa-2020-012
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26229


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi