在上游软件包中解析问题产生的错误
尊贵的开源内容管理系统(CMS)的维护者Typo3已修复了跨站脚本((XSS)缺陷带有大量软件更新。
PHP软件包的XSS机制typo3/html-sanitizer由于上游软件包策划者/HTML5的解析问题而被绕过,因此“在序列中使用特殊HTML评论的恶意标记无法过滤和消毒”Github咨询于周二(9月13日)出版。
该问题已在typo3/cms核的7.6.58、8.7.48、9.5.37、10.4.32和11.5.16中进行了修补。这些发行线上的所有先前版本都受到影响。
不要错过WordPress项目WPHASH收获7500万哈希,用于检测脆弱的插件
在需要用户交互的情况下,该错误仅为中等严重性,将CVSS得分分为6.1。
然而,即使有适中的市场份额Typo3计算大量的活动安装。
自由使用CMS于1997年推出2.43%CMS市场的转化为超过23万客户,其中46%的位于德国。
Typo3协会拥有约900名成员,通过捐赠和会员资格订阅为发展提供资金。
Quug Discovery的信用是安全研究员David Klein,而奥利弗·哈德(Oliver Hader),Typo3安全团队负责人和核心开发人员开发了补丁。
