Эксплуатация бреши позволяет обойти систему аутентификации и авторизоваться с помощью одного только имени пользователя.
В пятницу, 19 февраля, сообщество TYPO3 выпустило внеплановое обновление для системы управления сайтами TYPO3 4.5.40, в котором исправлена опасная уязвимость. Эксплуатация бреши, обнаруженной исследователем Пьерриком Каиллоном (Pierrick Caillon), позволяет обойти систему аутентификации и авторизоваться с помощью одного только имени пользователя.
Уязвимыми являются версии с 4.3.0 по 4.3.14, с 4.4.0 по 4.4.15, с 4.5.0 по 4.5.39 и с 4.6.0 по 4.6.18 (в конфигурации по умолчанию не используются ни rsaauth, ни felogin).
Эксперты настоятельно рекомендуют обновить TYPO3 до версии 4.5.40. В качестве альтернативного решения можно использовать скрипт командной строки или diff-файл для установки патча вручную.
Напомним , что в этом месяце была обнаружена уязвимость нулевого дня в одном из плагинов для системы управления содержимым сайтов WordPress, эксплуатация которой позволяла обойти ограничения безопасности и скомпрометировать систему.
Подробнее ознакомиться с описанием уязвимости можно здесь .
Ладно, не доказали. Но мы работаем над этим