Множественные уязвимости в модулях TYPO3

25/08/2009 22:40

Множественные уязвимости были обнаружены и устранены в модулях расширения популярной системы управления веб-сайтами TYPO3. Большинство устраненных уязвимостей имеют "критический" уровень и связаны с недостаточной проверкой и обработкой входных данных, что позволяло злоумышленнику произвести SQL-инъекцию. Уязвимости были обнаружены в следующих модулях системы:
- AIRware Lexicon (air_lexicon) 0.0.1,
- AST ZipCodeSearch (ast_addresszipsearch) 0.5.4,
- Car (car) 0.1.0,
- Event Registration (event_registr) 1.0.0,
- Solidbase Bannermanagement (SBbanner) 1.0.1,
- t3m_affiliate (t3m_affiliate) 0.5.0,
- AJAX Chat (vjchat) 0.3.2,
- T3M E-Mail Marketing Tool (t3m) 0.2.4,
- Commerce (commerce) 0.9.8 (XSS уязвимости).
На официальном веб-сайте системы TYPO3 в разделе дополнительных модулей доступны обновленные версии некоторых уязвимых модулей. Модули air_lexicon, ast_addresszipsearch, event_registr, SBbanner, t3m_affiliate, t3m не обновлялись и были исключены из каталога модулей, использование их представляет угрозу безопасности веб-сайта.
TYPO3 Extension Repository