CVSS: 4.3EPSS: 0%CPEs: 26EXPL: 0CVE-2010-3715
https://notcve.org/view.php?id=CVE-2010-3715
Multiple cross-site scripting (XSS) vulnerabilities in TYPO3 4.2.x before 4.2.15, 4.3.x before 4.3.7, and 4.4.x before 4.4.4 allow remote attackers to inject arbitrary web script or HTML via vectors related to (1) the RemoveXSS function, and allow remote authenticated users to inject arbitrary web script or HTML via vectors related to (2) the backend. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en TYPO3 v4.2.x anteriores a v4.2.15, v4.3.x anteriores a v4.3.7, y v4.4.x anteriores a v4.4.4, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores relativos a (1) la función RemoveXSS, y permitir a usuarios remotos autenticados inyectar secuencias de comandos web o HTML mediante vectores relacionados con (2) el panel de control (backend). • http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-020 http://www.debian.org/security/2010/dsa-2121 http://www.securityfocus.com/bid/43786 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.0EPSS: 0%CPEs: 22EXPL: 0CVE-2010-3716
https://notcve.org/view.php?id=CVE-2010-3716
The be_user_creation task in TYPO3 4.2.x before 4.2.15 and 4.3.x before 4.3.7 allows remote authenticated users to gain privileges via a crafted POST request that creates a user account with arbitrary group memberships. La tarea be_user_creation en TYPO3 v4.2.x anteriores a v4.2.15 y v4.3.x anteriores a v4.3.7 permite a usuarios remotos autenticados a obtener privilegios a través de peticiones POST manipuladas que crean una cuenta de usuario como miembro de un grupo arbitrario. • http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-020 http://www.debian.org/security/2010/dsa-2121 http://www.securityfocus.com/bid/43786 • CWE-20: Improper Input Validation •
CVSS: 5.0EPSS: 0%CPEs: 26EXPL: 0CVE-2010-3717
https://notcve.org/view.php?id=CVE-2010-3717
The t3lib_div::validEmail function in TYPO3 4.2.x before 4.2.15, 4.3.x before 4.3.7, and 4.4.x before 4.4.4 does not properly restrict input to filter_var FILTER_VALIDATE_EMAIL operations in PHP, which allows remote attackers to cause a denial of service (memory consumption and application crash) via a long e-mail address string, a related issue to CVE-2010-3710. La función t3lib_div::validEmail en TYPO3 v4.2.x anteriores a v4.2.15, v4.3.x anteriores a v4.3.7, y v4.4.x anteriores a v4.4.4 no restringe de forma adecuada la entrada a las operaciones filter_var FILTER_VALIDATE_EMAIL en PHP, lo que permite a atacantes remotos provocar una denegación de servicio (consumo de memoria y caída de aplicación) a través de una cadena de dirección e-mail larga, esta vulnerabilidad está relaciona con CVE-3710. • http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-020 http://www.debian.org/security/2010/dsa-2121 http://www.securityfocus.com/bid/43786 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 6.8EPSS: 0%CPEs: 3EXPL: 0CVE-2010-1153
https://notcve.org/view.php?id=CVE-2010-1153
PHP remote file inclusion vulnerability in the autoloader in TYPO3 4.3.x before 4.3.3 allows remote attackers to execute arbitrary PHP code via a URL in an input field associated with the className variable. Vulnerabilidad de inclusión remota de archivo PHP en el autoloader en TYPO3 v4.3.x anterior a 4.3.3, permite a atacantes remotos ejecutar código PHP de su elección a través de una URL en el campo input asociado con la variables className. • http://marc.info/?l=oss-security&m=127092306209177&w=2 http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-008 http://www.openwall.com/lists/oss-security/2010/04/12/1 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 3.5EPSS: 0%CPEs: 46EXPL: 0CVE-2009-3629
https://notcve.org/view.php?id=CVE-2009-3629
Multiple cross-site scripting (XSS) vulnerabilities in the Backend subcomponent in TYPO3 4.0.13 and earlier, 4.1.x before 4.1.13, 4.2.x before 4.2.10, and 4.3.x before 4.3beta2 allow remote authenticated users to inject arbitrary web script or HTML via unspecified vectors. Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS) en el subcomponente Backend de TYPO3 v4.0.13 y anteriores, v4.1.x anteriores a v4.1.13, v4.2.x anteriores a v4.2.10 y v4.3.x anteriores a v4.3beta2. Permiten a usuarios remotos autenticados inyectar codigo de script web o código HTML a través de vectores de ataque sin especificar. • http://marc.info/?l=oss-security&m=125632856206736&w=2 http://marc.info/?l=oss-security&m=125633199111438&w=2 http://secunia.com/advisories/37122 http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-016 http://www.securityfocus.com/bid/36801 http://www.vupen.com/english/advisories/2009/3009 https://exchange.xforce.ibmcloud.com/vulnerabilities/53918 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •