[SECURITY] Information disclosure showing DB name
authorGeorg Ringer <mail@ringerge.org>
Wed, 28 Mar 2012 11:54:06 +0000 (13:54 +0200)
committerOliver Hader <oliver@typo3.org>
Wed, 28 Mar 2012 11:54:09 +0000 (13:54 +0200)
By accessing a cli script in the frontend, it is possible
that the DB name is shown.

Change-Id: I123530c4814dd1ac4a3af6d5eaea3df62dc11297
Fixes: #29060
Security-Commit: 1d43d5ccf1f2d1e6ffbe8600795ea8235e8cd6d3
Security-Bulletin: TYPO3-CORE-SA-2012-001
Reviewed-on: http://review.typo3.org/10003
Reviewed-by: Oliver Hader
Tested-by: Oliver Hader
t3lib/class.t3lib_beuserauth.php

index 7990df0..e7c614d 100644 (file)
@@ -246,7 +246,7 @@ class t3lib_beUserAuth extends t3lib_userAuthGroup {
                                                        die('ERROR: CLI backend user "' . $userName . '" was ADMIN which is not allowed!' . LF . LF);
                                                }
                                        } else {
-                                               die('ERROR: No backend user named "' . $userName . '" was found! [Database: ' . TYPO3_db . ']' . LF . LF);
+                                               die('ERROR: No backend user named "' . $userName . '" was found!' . LF . LF);
                                        }
                                } else {
                                        die('ERROR: Module name, "' . $GLOBALS['MCONF']['name'] . '", was not prefixed with "_CLI_"' . LF . LF);