CVE-2019-11832
https://notcve.org/view.php?id=CVE-2019-11832
TYPO3 8.x before 8.7.25 and 9.x before 9.5.6 allows remote code execution because it does not properly configure the applications used for image processing, as demonstrated by ImageMagick or GraphicsMagick. TYPO3, versiones 8.x anteriores a 8.7.25 y 9.x anteriores a 9.5.6, permite la ejecución remota de código porque no configura correctamente las aplicaciones utilizadas para el procesamiento de imágenes, como demuestran ImageMagick o GraphicsMagick. • http://www.securityfocus.com/bid/108305 https://typo3.org/security/advisory/typo3-core-sa-2019-012 • CWE-20: Improper Input Validation •
CVE-2018-6905
https://notcve.org/view.php?id=CVE-2018-6905
The page module in TYPO3 before 8.7.11, and 9.1.0, has XSS via $GLOBALS['TYPO3_CONF_VARS']['SYS']['sitename'], as demonstrated by an admin entering a crafted site name during the installation process. El módulo page en TYPO3, en versiones anteriores a la 8.7.11 y versiones 9.1.0,. tiene Cross-Site Scripting (XSS) mediante $GLOBALS['TYPO3_CONF_VARS']['SYS']['sitename'], tal y como queda demostrado con un administrador que introduce un nombre de sitio manipulado durante el proceso de instalación. • https://github.com/dnr6419/CVE-2018-6905 http://www.securitytracker.com/id/1040755 https://forge.typo3.org/issues/84191 https://github.com/pradeepjairamani/TYPO3-XSS-POC • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2017-14251
https://notcve.org/view.php?id=CVE-2017-14251
Unrestricted File Upload vulnerability in the fileDenyPattern in sysext/core/Classes/Core/SystemEnvironmentBuilder.php in TYPO3 7.6.0 to 7.6.21 and 8.0.0 to 8.7.4 allows remote authenticated users to upload files with a .pht extension and consequently execute arbitrary PHP code. Una vulnerabilidad de subida de archivos sin restricciones en fileDenyPattern en sysext/core/Classes/Core/SystemEnvironmentBuilder.php en TYPO3 para las versiones 7.6.0 a 7.6.21 y 8.0.0 a 8.7.4 permite a los usuarios autenticados remotos subir archivos con una extensión .pht y, como consecuencia, ejecutar código PHP arbitrario. • http://blog.emaze.net/2017/12/typo3-unrestricted-file-upload-remote.html http://www.securityfocus.com/bid/100620 http://www.securitytracker.com/id/1039295 https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2017-007 • CWE-434: Unrestricted Upload of File with Dangerous Type •