CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2019-12747
https://notcve.org/view.php?id=CVE-2019-12747
TYPO3 8.x through 8.7.26 and 9.x through 9.5.7 allows Deserialization of Untrusted Data. TYPO3 versiones 8.x hasta 8.7.26 y versiones 9.x hasta 9.5.7, permite la Deserialización de Datos No Seguros. • https://typo3.org/security/advisory/typo3-core-sa-2019-020 • CWE-502: Deserialization of Untrusted Data •
CVSS: 9.3EPSS: 0%CPEs: 2EXPL: 0CVE-2019-11832
https://notcve.org/view.php?id=CVE-2019-11832
TYPO3 8.x before 8.7.25 and 9.x before 9.5.6 allows remote code execution because it does not properly configure the applications used for image processing, as demonstrated by ImageMagick or GraphicsMagick. TYPO3, versiones 8.x anteriores a 8.7.25 y 9.x anteriores a 9.5.6, permite la ejecución remota de código porque no configura correctamente las aplicaciones utilizadas para el procesamiento de imágenes, como demuestran ImageMagick o GraphicsMagick. • http://www.securityfocus.com/bid/108305 https://typo3.org/security/advisory/typo3-core-sa-2019-012 • CWE-20: Improper Input Validation •
CVSS: 4.8EPSS: 0%CPEs: 2EXPL: 2CVE-2018-6905
https://notcve.org/view.php?id=CVE-2018-6905
The page module in TYPO3 before 8.7.11, and 9.1.0, has XSS via $GLOBALS['TYPO3_CONF_VARS']['SYS']['sitename'], as demonstrated by an admin entering a crafted site name during the installation process. El módulo page en TYPO3, en versiones anteriores a la 8.7.11 y versiones 9.1.0,. tiene Cross-Site Scripting (XSS) mediante $GLOBALS['TYPO3_CONF_VARS']['SYS']['sitename'], tal y como queda demostrado con un administrador que introduce un nombre de sitio manipulado durante el proceso de instalación. • https://github.com/dnr6419/CVE-2018-6905 http://www.securitytracker.com/id/1040755 https://forge.typo3.org/issues/84191 https://github.com/pradeepjairamani/TYPO3-XSS-POC • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 42EXPL: 1CVE-2017-14251
https://notcve.org/view.php?id=CVE-2017-14251
Unrestricted File Upload vulnerability in the fileDenyPattern in sysext/core/Classes/Core/SystemEnvironmentBuilder.php in TYPO3 7.6.0 to 7.6.21 and 8.0.0 to 8.7.4 allows remote authenticated users to upload files with a .pht extension and consequently execute arbitrary PHP code. Una vulnerabilidad de subida de archivos sin restricciones en fileDenyPattern en sysext/core/Classes/Core/SystemEnvironmentBuilder.php en TYPO3 para las versiones 7.6.0 a 7.6.21 y 8.0.0 a 8.7.4 permite a los usuarios autenticados remotos subir archivos con una extensión .pht y, como consecuencia, ejecutar código PHP arbitrario. • http://blog.emaze.net/2017/12/typo3-unrestricted-file-upload-remote.html http://www.securityfocus.com/bid/100620 http://www.securitytracker.com/id/1039295 https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2017-007 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 8.1EPSS: 3%CPEs: 19EXPL: 0CVE-2016-5091
https://notcve.org/view.php?id=CVE-2016-5091
Extbase in TYPO3 4.3.0 before 6.2.24, 7.x before 7.6.8, and 8.1.1 allows remote attackers to obtain sensitive information or possibly execute arbitrary code via a crafted Extbase action. Extbase en TYPO3 4.3.0 en versiones anteriores a 6.2.24, 7.x en versiones anteriores a 7.6.8 y 8.1.1 permite a atacantes remotos obtener información sensible o posiblemente ejecutar código arbitrario a través una acción Extbase manipulada. • http://www.openwall.com/lists/oss-security/2016/05/25/4 http://www.openwall.com/lists/oss-security/2016/05/26/2 https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-013 • CWE-254: 7PK - Security Features •