关键信息 漏洞描述 类型: Cross-Site Scripting (XSS) in Content Rendering CVE ID: CVE-2021-21365 CVSS: 3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N/E:F/RL:O/RC:C (5.0) Weakness: CWE-79 Severity: Moderate 受影响的版本 7.1.0-7.1.1, 8.0.0-8.0.7, 9.0.0-9.0.3, 9.1.0-9.1.2, 10.0.0-10.0.9, 11.0.0-11.0.2 已修复的版本 7.1.2, 8.0.8, 9.0.4, 9.1.3, 10.0.10, 11.0.3 问题详情 渲染网站前端内容时存在跨站脚本漏洞。有效利用此漏洞需要合法的后端用户账户。 受影响的模板包括: Resources/Private/Partials/ContentElements/Carousel/Item/CallToAction.html Resources/Private/Partials/ContentElements/Carousel/Item/Header.html Resources/Private/Partials/ContentElements/Carousel/Item/Text.html Resources/Private/Partials/ContentElements/Carousel/Item/TextAndImage.html Resources/Private/Partials/ContentElements/Header/SubHeader.html 解决方案 更新到Bootstrap Package 7.1.2, 8.0.8, 9.0.4, 9.1.3, 10.0.10 或 11.0.3 版本以修复此问题。可以通过TYPO3扩展管理器、Packagist和此链接 获取最新版本。 自定义了受影响模板的扩展用户,需手动应用此Git commit 中的安全修复。 致谢 感谢TYPO3安全团队成员Oliver Hader报告和修复了这个问题。 参考 TYPO3-EXT-SA-2021-007