CVE-2024-47047

An issue was discovered in the powermail extension through 12.4.0 for TYPO3. It fails to validate the mail parameter of the createAction, resulting in Insecure Direct Object Reference (IDOR) in some configurations. An unauthenticated attacker can use this to display user-submitted data of all forms persisted by the extension. The fixed versions are 7.5.1, 8.5.1, 10.9.1, and 12.4.1.
References
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:in2code:powermail:*:*:*:*:*:typo3:*:*
cpe:2.3:a:in2code:powermail:*:*:*:*:*:typo3:*:*
cpe:2.3:a:in2code:powermail:*:*:*:*:*:typo3:*:*
cpe:2.3:a:in2code:powermail:*:*:*:*:*:typo3:*:*

History

27 Sep 2024, 17:03

Type Values Removed Values Added
First Time In2code powermail
In2code
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 7.5
CWE CWE-639
CPE cpe:2.3:a:in2code:powermail:*:*:*:*:*:typo3:*:*
References () https://typo3.org/security/advisory/typo3-ext-sa-2024-007 - () https://typo3.org/security/advisory/typo3-ext-sa-2024-007 - Vendor Advisory

20 Sep 2024, 12:30

Type Values Removed Values Added
Summary
  • (es) Se descubrió un problema en la extensión Powermail hasta la versión 12.4.0 para TYPO3. No se puede validar el parámetro de correo de createAction, lo que genera una referencia directa a objetos insegura (IDOR) en algunas configuraciones. Un atacante no autenticado puede usar esto para mostrar los datos enviados por el usuario de todos los formatos que la extensión conserva. Las versiones corregidas son 7.5.1, 8.5.1, 10.9.1 y 12.4.1.

17 Sep 2024, 14:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-09-17 14:15

Updated : 2024-09-27 17:03


NVD link : CVE-2024-47047

Mitre link : CVE-2024-47047

CVE.ORG link : CVE-2024-47047


JSON object : View

Products Affected

in2code

  • powermail
CWE
CWE-639

Authorization Bypass Through User-Controlled Key