JVNDB-2013-005703

JVNDB-2013-005703
TYPO3 の Content Editing Wizards コンポーネントにおける任意の TYPO3 テーブルの列を読まれる脆弱性
概要
TYPO3 の Content Editing Wizards コンポーネントは、権限をチェックしないため、任意の TYPO3 テーブルの列を読まれる脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 4.0 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 単一機密性への影響(C): 部分的完全性への影響(I): なし可用性への影響(A): なし
影響を受けるシステム

TYPO3 Association TYPO3 4.5.0 から 4.5.31 TYPO3 4.7.0 から 4.7.16 TYPO3 6.0.0 から 6.0.11 TYPO3 6.1.0 から 6.1.6

想定される影響
リモート認証された編集者により、不特定のパラメータを介して、任意の TYPO3 テーブルの列を読まれる可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
TYPO3 Association TYPO3 Security Bulletin : TYPO3-CORE-SA-2013-004
CWEによる脆弱性タイプ一覧 CWEとは?
認可・権限・アクセス制御(CWE-264) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2013-7073
参考情報
National Vulnerability Database (NVD) : CVE-2013-7073
更新履歴
[2013年12月25日] 掲載

TYPO3 の Content Editing Wizards コンポーネントにおける任意の TYPO3 テーブルの列を読まれる脆弱性