[SECURITY] feuser_adminLib.inc allows to set arbitrary fields 78/26178/2
authorSteffen Ritter <info@rs-websystems.de>
Tue, 10 Dec 2013 09:50:53 +0000 (10:50 +0100)
committerOliver Hader <oliver.hader@typo3.org>
Tue, 10 Dec 2013 09:50:57 +0000 (10:50 +0100)
commitc4d13361936dbdf2bfba1690d1d199eb7c0a5c67
tree201b156ad648fe50ad657b3fcc22abab7dc26e2d
parent534228488e2f6fb04e8ec8679f74a734ff032dea
[SECURITY] feuser_adminLib.inc allows to set arbitrary fields

The CMS core ships a utility class helping extension authors
to create frontend-extension which need a mail-based opt-in.
This class is neither used by core nor really maintained.

In the opt-in process the fields which should be updated to
activate the user are put as URL parameter into the
activation link. In the default configuration this feature
set allows to set any values of any field to this record.

As a result a user could manipulate his activation link and
therefore extend his usergroups.

This patch ensures that all fields which are about to update
are added to the hash as well as only taking the values
from TypoScript so even if the fields match no harm can be
done.

Change-Id: Ie27fba37522f7f46894a962fbd9425c328ce0583
Fixes: #48187
Releases: 6.0, 4.7, 4.5
Security-Commit: 2c930f8f2a8d18b83bb9d2d49cbdbec839b47188
Security-Bulletin: TYPO3-CORE-SA-2013-004
Reviewed-on: https://review.typo3.org/26178
Reviewed-by: Oliver Hader
Tested-by: Oliver Hader
typo3/sysext/cms/tslib/media/scripts/fe_adminLib.inc
typo3/sysext/statictemplates/media/scripts/fe_adminLib.inc