TYPO3 后端“index.php' 'redirect_url”重定向
medium Nessus 插件 ID 48239
语言:
简介
远程 Web 服务器运行具有开放重定向的应用程序。描述
安装的 TYPO3 版本在发布重定向之前无法验证传递至后端“index.php”脚本的“redirect_url”参数的输入。攻击者可利用此问题通过欺骗用户访问恶意网站来进行钓鱼攻击。此安装版本据报告也受到其他数个漏洞的影响,包括跨站脚本、SQL 注入、任意代码执行、信息泄露、标头注入、中断认证及会话管理;但是,Nessus 尚未对这些问题进行测试。解决方案
升级到 TYPO3 4.1.14 / 4.2.13 / 4.3.4 / 4.4.1 或更高版本。另见
http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-012/
插件详情
严重性: Medium
ID: 48239
文件名: typo3_redirect_url_redirect.nasl
版本: 1.12
类型: remote
系列: CGI abuses
发布时间: 2010/8/3
最近更新时间: 2024/6/5
配置: 启用全面检查
支持的传感器: Nessus
风险信息
CVSS v2
风险因素: Medium
基本分数: 4.3
时间分数: 3.6
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
漏洞信息
CPE: cpe:/a:typo3:typo3
必需的 KB 项: www/PHP, installed_sw/TYPO3
排除的 KB 项: Settings/disable_cgi_scanning
可利用: true
易利用性: Exploits are available
被 Nessus 利用: true
补丁发布日期: 2010/7/28
漏洞发布日期: 2010/7/28
参考资料信息
BID: 42029
SECUNIA: 40742