聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
本周二,GitHhub发布安全公告指出,由于上游包masterminds/html5中存在一个解析问题,导致PHP包typo3/html-sanitizer的XSS机制被绕过, “具有特殊HTML注释的序列中所使用的恶意标记无法被过滤和清理。”
该漏洞已在typo3/cms-core 的7.6.58、8.7.48、9.5.37、10.4.32和11.5.16版本中修复。在此之前的所有版本均受影响。
由于需要用户交互,因此该漏洞被评为“中危”等级,CVSS评分为6.1。尽管如此,尽管TYPO3的市场份额一般,但所代表的活跃安装量非常庞大。该开源CMS在1997年推出,所占的CMS市场份额为2.43%,即客户超过23万人,其中46%位于德国。
TYPO3协会目前拥有900名左右成员,通过捐赠和会员资格订阅的方式支持开发。
该漏洞由安全研究员 David Klein发现,补丁由TYPO3安全团队主管和核心开发人员 Oliver Hader开发。
https://portswigger.net/daily-swig/open-source-cms-typo3-tackles-xss-vulnerability
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):开源CMS TYPO3中存在XSS漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论