Das Content Management System Typo3 leidet an einer Cross-Site-Scripting-Lücke, über die sich Schadcode einschleusen lässt.

Die als hochkritisch eingestufte Lücke steckt in der Kernkomponente GeneralUtility::getIndpEnv(), die die ungefilterte Server-Umgebungsvariable PATH_INFO verwendet, über die Angreifer bösartige Inhalte einspeisen können, heißt es in der Sicherheitswarnung von Typo3.

In Kombination mit der TypoScript-Einstellung config.absRefPrefix=auto können Angreifer dann HTML-Code in Seiten einschleusen, die noch nicht gerendert und gecached wurden. Somit würden die injizierten Werte zwischengespeichert und an andere Website-Besucher weitergegeben.

Betroffen sind die Typo3-Versionen 8.7.0 bis 8.7.50, 9.0.0 bis 9.5.39, 10.0.0 bis 10.4.34, 11.0.0 bis 11.5.22, 12.0.0 bis 12.1.3. Ein Update auf die jeweils aktuellste Version schließt die Lücke.

Bei Websites, die aus irgendwelchen Gründen nicht gepatcht werden können, empfehlen die Entwickler zumindest die TypoScript-Einstellung config.absRefPrefix auf einen statischen Pfadwert zu setzen und nicht “auto” zu verwenden, Dies behebe aber nicht alle Aspekte der Schwachstelle und sei nur als Zwischenlösung zu sehen.

Der Beitrag Typo3 ermöglicht Cross Site Scripting erschien zuerst auf Linux-Magazin.

Die Macher des Content Management Systems Typo3 haben neue Versionen der Software veröffentlicht. Damit werden Sicherheitslücken geschlossen, von denen eine mit hohem Risiko bewertet ist.

Mit den Versionen Typo3 12.1.1, 11.5.20 und 10.4.33 reagieren die Entwickler auf Sicherheitsprobleme. Alle Updates seien reine Sicherheitsreleases und würden wichtige Fixes für die Lücken enthalten, heißt es in der Ankündigung. Von den insgesamt sechs aufgezählten Problemen zählt diejenige mit der CVE-2022-23503 zu den schwerwiegenden. Über sie lässt sich Code einschleusen. Grund dafür sei die fehlende Trennung der vom Benutzer übermittelten Daten von der internen Konfiguration im Backend-Modul Form Designer. Darüber sei es möglich, Code zu injizieren, der dann über TypoScript als PHP-Code verarbeitet und ausgeführt werde, heißt es im Security-Bulletin.

Wie die Entwickler weiter mitteilen, gilt für alle nun veröffentlichten Versionen, dass dafür keine Datenbank-Upgrades erforderlich seien. In der Ankündigung sind Installationshinweise verlinkt und Informationen zu den weiteren Sicherheitslücken.

Der Beitrag Typo3 braucht Update gegen Sicherheitslücken erschien zuerst auf Linux-Magazin.