久负盛名的开源内容管理系统(CMS)TYPO3的维护者已通过大量软件更新修复了跨站点脚本(XSS)漏洞。由于上游包 masterminds/html5中的解析问题,绕过了PHP包typo3/html-sanitizer的XSS机制, “无法过滤和清理带有特殊HTML注释的序列中使用的恶意标记”,GitHub发布的公告解释说9月13日。该问题已在typo3/cms-core的7.6.58、8.7.48、9.5.37、10.4.32和11.5.16中修复。这些发布线上的所有先前版本都会受到影响。
由于需要用户交互,该错误被归类为中等严重性,CVSS得分为6.1。
尽管如此,即使TYPO3的市场份额不大,但仍占大量活跃安装量。
免费使用的CMS于1997年推出,占CMS市场的2.43% ,相当于230000多名客户,其中46%位于德国。
拥有约900名成员的TYPO3协会通过捐赠和会员订阅来资助发展。
漏洞发现归功于安全研究员David Klein,而TYPO3安全团队负责人和核心开发人员Oliver Hader开发了该补丁。
原文始发于微信公众号(郑州网络安全):开源(CMS)TYPO3解决(XSS)漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论