[Other] Schwachstelle in der TYPO3-Erweiterung ‘pbsurvey’ – TYPO3-EXT-SA-2011-004

[Other] Schwachstelle in der TYPO3-Erweiterung 'pbsurvey' - TYPO3-EXT-SA-2011-004

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung. Wir geben diese Informationen
unveraendert an Sie weiter.

TYPO3-EXT-SA-2011-004 – Cross-site Scripting Schwachstelle in der
TYPO3-Erweiterung pbsurvey

In der TYPO3-Erweiterung “pbsurvey” vor Version 1.3.1 werden bestimmte
Benutzereingaben nicht ausreichend validiert. Ein entfernter Angreifer
kann dies ausnutzen, um mittels einer praeparierten URL beliebige HTML-
und Skriptbefehle im Browser anderer Benutzer zur Ausfuehrung zu
bringen.

Betroffen sind die folgenden Software Pakete und Plattformen:

TYPO3-Erweiterung “pbsurvey” vor Version 1.3.1

Alle Plattformen, auf denen die Software lauffaehig ist.

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Matthias Braeck

– —
Matthias Braeck (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

TYPO3 Security Bulletin TYPO3-EXT-SA-2011-004: Cross Site Scripting Vulnerability in extension Questionaire (pbsurvey)

Component Type: Third party extension. This extension is not a part of the TYPO3 default installation.

Affected Versions: Version 1.3.0 and below

Vulnerability Types: Cross-Site Scripting

Severity: Medium

Suggested CVSS v2.0: AV:N/AC:M/Au:S/C:P/I:C/A:N/E:U/RL:OF/RC:C (What’s that?)

Release Date: 25.08.2011

Problem Description: Failing to properly sanitize user input, pbsurvey is susceptible to Cross Site Scripting.

Solution: An updated version 1.3.1 is available from the TYPO3 extension manager and at typo3.org/extensions/repository/view/pbsurvey/1.3.1/.

General advice: Follow the recommendations that are given in the TYPO3 Security Cookbook. Please subscribe to the typo3-announce mailing list to receive future Security Bulletins via E-mail.

Credits: Thanks to Security Team Member Georg Ringer who discovered and reported this issue.

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)

iQEcBAEBAgAGBQJOW5yuAAoJEJtyb8U7iGZBKmoH/inivSdDRI2JTjvNkeJfLZL1
Tq9ZGNqdzF962RdX5Dgrk8tkOknU08UjUOqk1yUvebqYSr8B+USknJ93akQj/1Ue
DeveNP0vSLEmU/CQVNij7YT32XzkxpvEtq229nJ2OMF9YKzGiYJ1N5gO7KFK1PCl
ArDrdWdtZXhfZYXI8+T9ih4Lvn2WOa7rys9b4dhK3ns4ezyvNfiXL46A9RBnJaAs
q/JrT8nK8i4k6z5uwNgUkwQtWtYkcN4mqHe61RftJ5CfleCB/Z9YmW3qJ9bNT9Ip
3gqn6/hhm0+eFdgrkkHFr/92W+oLePR75tVopap8E195rQukoHU8sncKCDXTxUU=
=4YW8
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben