close
聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
本周二,GitHhub發布安全公告指出,由於上游包masterminds/html5中存在一個解析問題,導致PHP包typo3/html-sanitizer的XSS機制被繞過, 「具有特殊HTML注釋的序列中所使用的惡意標記無法被過濾和清理。」
該漏洞已在typo3/cms-core 的7.6.58、8.7.48、9.5.37、10.4.32和11.5.16版本中修復。在此之前的所有版本均受影響。
由於需要用戶交互,因此該漏洞被評為「中危」等級,CVSS評分為6.1。儘管如此,儘管TYPO3的市場份額一般,但所代表的活躍安裝量非常龐大。該開源CMS在1997年推出,所占的CMS市場份額為2.43%,即客戶超過23萬人,其中46%位於德國。
TYPO3協會目前擁有900名左右成員,通過捐贈和會員資格訂閱的方式支持開發。
該漏洞由安全研究員 David Klein發現,補丁由TYPO3安全團隊主管和核心開發人員 Oliver Hader開發。
https://portswigger.net/daily-swig/open-source-cms-typo3-tackles-xss-vulnerability
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
全站熱搜
留言列表