开源(CMS)TYPO3解决(XSS)漏洞

久负盛名的开源内容管理系统(CMS)TYPO3的维护者已通过大量软件更新修复了跨站点脚本(XSS)漏洞。由于上游包 masterminds/html5中的解析问题,绕过了PHP包typo3/html-sanitizer的XSS机制, “无法过滤和清理带有特殊HTML注释的序列中使用的恶意标记”,GitHub发布的公告解释说9月13日。该问题已在typo3/cms-core的7.6.58、8.7.48、9.5.37、10.4.32和11.5.16中修复。这些发布线上的所有先前版本都会受到影响。

由于需要用户交互,该错误被归类为中等严重性,CVSS得分为6.1。

尽管如此,即使TYPO3的市场份额不大,但仍占大量活跃安装量。

免费使用的CMS于1997年推出,占CMS市场的2.43% ,相当于230000多名客户,其中46%位于德国。

拥有约900名成员的TYPO3协会通过捐赠和会员订阅来资助发展。

漏洞发现归功于安全研究员David Klein,而TYPO3安全团队负责人和核心开发人员Oliver Hader开发了该补丁。

发表评论

评论已关闭。

相关文章