TYPO3 SQL注入漏洞

漏洞起因
SQL注入错误
危险等级

影响系统
TYPO3 4.x
TYPO3 6.x

不受影响系统

危害
远程攻击者可以利用漏洞可操作数据库或控制应用系统。

攻击所需条件
攻击者必须构建恶意URI,诱使用户解析。

漏洞信息
TYPO3是一款开源的内容管理系统。
提交给Extbase的部分输入在用于SQL查询之前缺少正确过滤,远程攻击者可以利用漏洞进行SQL注入攻击,可获得敏感信息或控制应用系统。

测试方法

厂商解决方案
TYPO3 4.5.24, 4.6.17, 4.7.9或6.0.3已经修复此漏洞,建议用户下载更新:
http://typo3.org

漏洞提供者
vendor

评论关闭。