以下是关于漏洞的关键信息: 漏洞标题: User Enumeration via Response Timing 漏洞标签: Moderate 发布日期: Sep 13, 2022 受影响版本: - 7.0.0-7.6.57 - 8.0.0-8.7.47 - 9.0.0-9.5.36 - 10.0.0-10.4.31 - 11.0.0-11.5.15 补丁版本: - 7.6.58 - 8.7.48 - 9.5.37 - 10.4.32 - 11.5.16 描述: - 在用户认证时(后台和前台)通过观察响应时间可以区分现有和不存在的用户账户。 - 3rd party TYPO3 扩展的作者需要检查他们的自定义认证服务是否受到影响,并且需要实现 来模拟正常处理所花费的时间。 CVSS评级: CVSS v3.1 评分为 4.9 (中等) 严重性: Moderate (5.3 / 10) CVSS v3 基础度量值: - 攻击向量: Network - 攻击复杂度: Low - 所需权限: None - 用户交互: None - 范围: Unchanged - 机密性: Low - 完整性: None - 可用性: None CVE ID: CVE-2022-36105 弱点: CWE-208 解决方法: 更新到 TYPO3 版本 7.6.58 ELTS, 8.7.48 ELTS, 9.5.37 ELTS, 10.4.32 或 11.5.16 以修复上述问题。 致谢: Vautia 报告了此问题,TYPO3 核心和安全团队成员 Oliver Hader 修复了此问题。 引用: - TYPO3-CORE-SA-2022-007 - 漏洞报告在 huntr.dev (严守保密 30 天)