Plataforma
php
Componente
typo3-appointments
Corregido en
2.0.1
2.0.2
2.0.3
2.0.4
2.0.5
2.0.6
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en la extensión Appointments para TYPO3, afectando a las versiones desde 2.0.0 hasta 2.0.5. Esta vulnerabilidad permite a un atacante inyectar scripts maliciosos a través de la manipulación de argumentos en el componente 'Appointment Handler'. La actualización a la versión 2.0.6 corrige esta vulnerabilidad y se recomienda encarecidamente su aplicación.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página web afectada. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. El impacto se amplifica si la extensión Appointments se utiliza para gestionar información sensible o si los usuarios tienen privilegios elevados en el sistema TYPO3. Un atacante podría, por ejemplo, robar credenciales de acceso o realizar acciones en nombre de un usuario autenticado.
Esta vulnerabilidad fue publicada el 4 de enero de 2023. No se ha reportado explotación activa en entornos reales, pero la naturaleza de las vulnerabilidades XSS las hace susceptibles a ataques automatizados. La vulnerabilidad ha sido catalogada en la base de datos VDB con el identificador VDB-217353. La probabilidad de explotación se considera baja debido a la necesidad de interacción del usuario.
Organizations using TYPO3 with the appointments Extension installed in versions 2.0.0 through 2.0.5 are at risk. This includes websites that rely on the appointments Extension for scheduling and event management. Shared hosting environments utilizing TYPO3 are particularly vulnerable, as they may lack the resources or expertise to promptly apply security updates.
• php: Examine appointment handler code for unsanitized formfield inputs. Search for instances where $POST or $GET data is directly outputted to the page without proper encoding.
// Example of vulnerable code
<?php
echo $_GET['formfield']; // Vulnerable to XSS
?>• web: Monitor access logs for unusual requests containing JavaScript payloads in formfield parameters. Look for patterns indicative of XSS attempts.
grep -i 'script|alert' /var/log/apache2/access.log• generic web: Check response headers for the presence of unexpected JavaScript code. Use browser developer tools to inspect the rendered HTML and identify any injected scripts.
discovery
disclosure
Estado del Exploit
EPSS
0.25% (48% percentil)
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar la extensión Appointments a la versión 2.0.6 o superior. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el componente 'Appointment Handler'. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de código. La revisión del código fuente de la extensión puede ayudar a identificar y corregir otras posibles vulnerabilidades.
Actualice la extensión appointments a la versión 2.0.6 o superior. Esta versión contiene una corrección para la vulnerabilidad de cross-site scripting (XSS). La actualización se puede realizar a través del administrador de extensiones de TYPO3.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-25094 is a cross-site scripting (XSS) vulnerability affecting TYPO3 Appointments Extension versions 2.0.0–2.0.5, allowing attackers to inject malicious scripts via formfield manipulation.
You are affected if you are using TYPO3 Appointments Extension versions 2.0.0 through 2.0.5. Upgrade to 2.0.6 to mitigate the risk.
Upgrade the appointments Extension to version 2.0.6 or later. Apply input validation and sanitization as a temporary workaround if upgrading is not immediately possible.
While no active campaigns are definitively linked, XSS vulnerabilities are frequently targeted. Exercise caution and apply the patch promptly.
Refer to the TYPO3 security advisory for detailed information and updates: [https://typo3.org/security/advisory/typo3-extensions-sa-2019-008/](https://typo3.org/security/advisory/typo3-extensions-sa-2019-008/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.