CVSS: 5.0EPSS: 0%CPEs: 26EXPL: 0CVE-2010-3717
https://notcve.org/view.php?id=CVE-2010-3717
The t3lib_div::validEmail function in TYPO3 4.2.x before 4.2.15, 4.3.x before 4.3.7, and 4.4.x before 4.4.4 does not properly restrict input to filter_var FILTER_VALIDATE_EMAIL operations in PHP, which allows remote attackers to cause a denial of service (memory consumption and application crash) via a long e-mail address string, a related issue to CVE-2010-3710. La función t3lib_div::validEmail en TYPO3 v4.2.x anteriores a v4.2.15, v4.3.x anteriores a v4.3.7, y v4.4.x anteriores a v4.4.4 no restringe de forma adecuada la entrada a las operaciones filter_var FILTER_VALIDATE_EMAIL en PHP, lo que permite a atacantes remotos provocar una denegación de servicio (consumo de memoria y caída de aplicación) a través de una cadena de dirección e-mail larga, esta vulnerabilidad está relaciona con CVE-3710. • http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-020 http://www.debian.org/security/2010/dsa-2121 http://www.securityfocus.com/bid/43786 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 3CVE-2009-4855 – TYPO3 CMS 4.0 - 'showUid' SQL Injection
https://notcve.org/view.php?id=CVE-2009-4855
SQL injection vulnerability in index.php in TYPO3 4.0 allows remote attackers to execute arbitrary SQL commands via the showUid parameter. NOTE: the TYPO3 Security Team disputes this report, stating that "there is no such vulnerability... The showUid parameter is generally used in third-party TYPO3 extensions - not in TYPO3 Core. ** DISPUTADA ** Vulnerabilidad de inyección SQL en index.php en TYPO3 4.0 permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro showUid. NOTA: El equipo de seguridad de TYPO3 disputa este informe, diciendo que 'no existe tal vulnerabilidad... El parámetro showUid se utiliza generalmente en extensiones de terceros de TYPO3 y no en TYPO3 Core.' • https://www.exploit-db.com/exploits/9380 http://secure.t3sec.info/blog/post/2009/08/06/typo3-cms-40-showuid-exploit-not-a-vulnerability http://www.exploit-db.com/exploits/9380 http://www.securityfocus.com/bid/35975 https://exchange.xforce.ibmcloud.com/vulnerabilities/52308 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 6.8EPSS: 0%CPEs: 3EXPL: 0CVE-2010-1153
https://notcve.org/view.php?id=CVE-2010-1153
PHP remote file inclusion vulnerability in the autoloader in TYPO3 4.3.x before 4.3.3 allows remote attackers to execute arbitrary PHP code via a URL in an input field associated with the className variable. Vulnerabilidad de inclusión remota de archivo PHP en el autoloader en TYPO3 v4.3.x anterior a 4.3.3, permite a atacantes remotos ejecutar código PHP de su elección a través de una URL en el campo input asociado con la variables className. • http://marc.info/?l=oss-security&m=127092306209177&w=2 http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-008 http://www.openwall.com/lists/oss-security/2010/04/12/1 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 5.1EPSS: 1%CPEs: 1EXPL: 0CVE-2010-0286
https://notcve.org/view.php?id=CVE-2010-0286
Unspecified vulnerability in the OpenID Identity Authentication extension in TYPO3 4.3.0 allows remote attackers to bypass authentication and gain access to a backend user account via unknown attack vectors in which both the attacker and victim have an OpenID provider that discards identities during authentication. Vulnerabilidad no especificada en la extensión OpenID Identity Authentication para TYPO3 v4.3.0 permite a atacantes remotos saltarse la autenticación y ganar acceso a una cuenta de usuario de la consola de administración a través de vectores de ataque desconocidos en el caso que ambos, atacante y víctima tengan una proveedor OpenID que deseche las identidades durante la autenticación. • http://osvdb.org/61680 http://secunia.com/advisories/38206 http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-001 http://www.vupen.com/english/advisories/2010/0127 https://exchange.xforce.ibmcloud.com/vulnerabilities/55609 •
CVSS: 4.0EPSS: 0%CPEs: 59EXPL: 0CVE-2009-3628
https://notcve.org/view.php?id=CVE-2009-3628
The Backend subcomponent in TYPO3 4.0.13 and earlier, 4.1.x before 4.1.13, 4.2.x before 4.2.10, and 4.3.x before 4.3beta2 allows remote authenticated users to determine an encryption key via crafted input to a tt_content form element. El subcomponente Backend de TYPO3 v4.0.13 y anteriores, v4.1.x anteriores a v4.1.13, v4.2.x anteriores a v4.2.10 y v4.3.x anteriores a v4.3beta2 permite a atacantes remotos autenticados determinar la clave de encriptación a través de una entrada modificada al elemento de formulario tt_content. • http://marc.info/?l=oss-security&m=125632856206736&w=2 http://secunia.com/advisories/37122 http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-016 http://www.securityfocus.com/bid/36801 http://www.vupen.com/english/advisories/2009/3009 https://exchange.xforce.ibmcloud.com/vulnerabilities/53917 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •