TYPO3 4.4.13/4.5.13/4.6.6 HTML Sanitizing t3lib_div::RemoveXSS() Cross Site Scripting

VulDB: TYPO3 4.4.13/4.5.13/4.6.6 HTML Sanitizing t3lib_div::RemoveXSS() Cross Site Scripting

Allgemein

scipID: 5013
Betroffen: TYPO3 4.4.13/4.5.13/4.6.6
Veröffentlicht: 28.03.2012
Risiko: problematisch
Eintrag: 78.8% komplett
Erstellt: 04.04.2012
Aktualisiert: 03.09.2012

Beschreibung

Es wurde eine Schwachstelle in TYPO3 4.4.13/4.5.13/4.6.6 entdeckt. Sie wurde als problematisch eingestuft. Dabei betrifft es die Funktion t3lib_div::RemoveXSS() der Komponente HTML Sanitizing. Durch Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 28.03.2012 publiziert. Das Advisory kann von typo3.org heruntergeladen werden. Die Identifikation der Schwachstelle wird seit dem 12.03.2012 mit CVE-2012-1608 vorgenommen. Sie gilt als leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.

Ein Aktualisieren auf die Version 4.4.14, 4.5.14, 4.6.7 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben unmittelbar gehandelt. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (80762) und Secunia (SA48622) dokumentiert.