漏洞起因
SQL注入错误
危险等级
中
影响系统
TYPO3 4.x
TYPO3 6.x
不受影响系统
危害
远程攻击者可以利用漏洞可操作数据库或控制应用系统。
攻击所需条件
攻击者必须构建恶意URI,诱使用户解析。
漏洞信息
TYPO3是一款开源的内容管理系统。
提交给Extbase的部分输入在用于SQL查询之前缺少正确过滤,远程攻击者可以利用漏洞进行SQL注入攻击,可获得敏感信息或控制应用系统。
测试方法
厂商解决方案
TYPO3 4.5.24, 4.6.17, 4.7.9或6.0.3已经修复此漏洞,建议用户下载更新:
http://typo3.org
漏洞提供者
vendor
评论关闭。