VULHUB ™

TYPO3是瑞士TYPO3协会的一套免费开源的内容管理系统(框架)(CMS/CMF)。 TYPO3 Fluid 存在跨站脚本漏洞，该漏洞源于TagBasedViewHelper允许XSS通过恶意创建的additionalAttributes数组，方法是创建带有属性结束引号和HTML的键。在呈现这些属性时，TagBuilder不会转义；使用CompileWithContentArgumentAndRenderStatic trait并声明escapeOutput = false的ViewHelpers将收到未转义格式的内容参数；AbstractConditionViewHelper的子类将以非转义格式接收then和else参数。

TYPO3是瑞士TYPO3协会的一套免费开源的内容管理系统(框架)(CMS/CMF)。 TYPO3 Fluid 存在跨站脚本漏洞，该漏洞源于TagBasedViewHelper允许XSS通过恶意创建的additionalAttributes数组，方法是创建带有属性结束引号和HTML的键。在呈现这些属性时，TagBuilder不会转义；使用CompileWithContentArgumentAndRenderStatic trait并声明escapeOutput = false的ViewHelpers将收到未转义格式的内容参数；AbstractConditionViewHelper的子类将以非转义格式接收then和else参数。