CVE-2020-11069
Cross-Site Request Forgery in TYPO3 CMS
Severity Score
Exploit Likelihood
Affected Versions
Public Exploits
0Exploited in Wild
-Decision
Descriptions
In TYPO3 CMS 9.0.0 through 9.5.16 and 10.0.0 through 10.4.1, it has been discovered that the backend user interface and install tool are vulnerable to a same-site request forgery. A backend user can be tricked into interacting with a malicious resource an attacker previously managed to upload to the web server. Scripts are then executed with the privileges of the victims' user session. In a worst-case scenario, new admin users can be created which can directly be used by an attacker. The vulnerability is basically a cross-site request forgery (CSRF) triggered by a cross-site scripting vulnerability (XSS) - but happens on the same target host - thus, it's actually a same-site request forgery. Malicious payload such as HTML containing JavaScript might be provided by either an authenticated backend user or by a non-authenticated user using a third party extension, e.g. file upload in a contact form with knowing the target location. To be successful, the attacked victim requires an active and valid backend or install tool user session at the time of the attack. This has been fixed in 9.5.17 and 10.4.2. The deployment of additional mitigation techniques is suggested as described below. - Sudo Mode Extension This TYPO3 extension intercepts modifications to security relevant database tables, e.g. those storing user accounts or storages of the file abstraction layer. Modifications need to confirmed again by the acting user providing their password again. This technique is known as sudo mode. This way, unintended actions happening in the background can be mitigated. - https://github.com/FriendsOfTYPO3/sudo-mode - https://extensions.typo3.org/extension/sudo_mode - Content Security Policy Content Security Policies tell (modern) browsers how resources served a particular site are handled. It is also possible to disallow script executions for specific locations. In a TYPO3 context, it is suggested to disallow direct script execution at least for locations /fileadmin/ and /uploads/.
En TYPO3 CMS versiones 9.0.0 hasta 9.5.16 y versiones 10.0.0 hasta 10.4.1, se detectó que la interfaz de usuario del backend y la herramienta de instalación son vulnerables a un ataque de tipo same-site request forgery. Un usuario del backend puede ser engañado para que interactúe con un recurso malicioso que un atacante administró previamente para cargarlo en el servidor web. Los scripts son luego ejecutados con los privilegios de la sesión de usuario de las víctimas. En un escenario del peor de los casos, nuevos usuarios administradores pueden ser creados, lo que pueden ser usado directamente por un atacante. La vulnerabilidad es básicamente una de tipo cross-site request forgery (CSRF) activada por una vulnerabilidad de tipo cross-site scripting (XSS), pero se presenta en el mismo host de destino, por lo que en realidad es una vulnerabilidad de tipo same-site request forgery. Una carga maliciosa, como HTML que contiene JavaScript, puede ser proporcionada por un usuario del backend autenticado o por un usuario no autenticado que use una extensión de terceros, por ejemplo, una carga de archivos en un formulario de contacto con el conocimiento de la ubicación de destino. Para tener éxito, la víctima atacada requiere una sesión de usuario del backend o la herramienta de instalación activa y válida al momento del ataque. Esto ha sido corregido en las versiones 9.5.17 y 10.4.2. El despliegue de técnicas de mitigación adicionales se sugiere como se describe a continuación. - Sudo Mode Extension, esta extensión de TYPO3 intercepta modificaciones en las tablas de bases de datos relevantes para la seguridad, por ejemplo, aquellas que almacenan cuentas de usuario o almacenamientos de la capa de abstracción de archivos. Las modificaciones necesitan ser confirmadas nuevamente por el usuario activo que proporcione su contraseña nuevamente. Esta técnica se conoce como modo sudo. De esta manera, pueden ser mitigadas las acciones no previstas que suceden en segundo plano. - https://github.com/FriendsOfTYPO3/sudo-mode - https://extensions.typo3.org/extension/sudo_mode - Content Security Policy Content Security Policies le dice a los navegadores (modernos) cómo se manejan los recursos que sirven a un sitio en particular. También es posible rechazar ejecuciones de script para ubicaciones específicas. En un contexto TYPO3, se sugiere no permitir la ejecución directa de scripts al menos para las ubicaciones /fileadmin/ y /uploads/.
CVSS Scores
SSVC
- Decision:-
Timeline
- 2020-03-30 CVE Reserved
- 2020-05-13 CVE Published
- 2024-06-22 EPSS Updated
- 2024-08-04 CVE Updated
- ---------- Exploited in Wild
- ---------- KEV Due Date
- ---------- First Exploit
CWE
- CWE-346: Origin Validation Error
- CWE-352: Cross-Site Request Forgery (CSRF)
CAPEC
References (1)
| URL | Tag | Source |
|---|---|---|
| https://github.com/TYPO3/TYPO3.CMS/security/advisories/GHSA-pqg8-crx9-g8m4 | Third Party Advisory |
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|
| URL | Date | SRC |
|---|
Affected Vendors, Products, and Versions
| Vendor | Product | Version | Other | Status | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| Vendor | Product | Version | Other | Status | <-- --> | Vendor | Product | Version | Other | Status |
| Typo3 Search vendor "Typo3" | Typo3 Search vendor "Typo3" for product "Typo3" | >= 9.0.0 <= 9.5.16 Search vendor "Typo3" for product "Typo3" and version " >= 9.0.0 <= 9.5.16" | - |
Affected
| ||||||
| Typo3 Search vendor "Typo3" | Typo3 Search vendor "Typo3" for product "Typo3" | >= 10.0.0 <= 10.4.1 Search vendor "Typo3" for product "Typo3" and version " >= 10.0.0 <= 10.4.1" | - |
Affected
| ||||||