Angreifer können eine Cross-Site-Scripting-Schwachstelle im Content Management System TYPO3 ausnutzen, um bösartigen HTML-Code einzuschleusen.

Der Sicherheitshinweis, der sich eher an Entwickler richtet, lautet wie folgt: "Die TYPO3-Kernkomponente GeneralUtility::getIndpEnv() verwendet die ungefilterte Server-Umgebungsvariable PATH_INFO, wodurch Angreifer bösartigen Inhalt einschleusen können. In Kombination mit der TypoScript-Einstellung config.absRefPrefix=auto kann ein Angreifer bösartigen HTML-Code in Seiten einfügen, die noch nicht gerendert und zwischengespeichert wurden. Die injizierten Werte werden dann zwischengespeichert und an andere Besucher der Website ausgegeben".

Das Common Vulnerability Scoring System bewertet die Lücke mit "hoch" (CVE-2023-24814, CVSS 8.8).

Der Fehler betrifft die Typo3-Versionen 8.7.0-8.7.50, 9.0.0-9.5.39, 10.0.0-10.4.34, 11.0.0-11.5.22 und 12.0.0-12.1.3. Seit kurzem bietet das Projekt auf der TYPO3-Website aktualisierte Versionen 12.2.0, 11.5.23 und 10.4.36 zum Download an. Administratoren wird aufgrund der Schwere der Schwachstelle empfohlen, diese schnell herunterzuladen und einzuspielen.

Wenn Sie Ihr TYPO3-Websiteprojekt bei uns hosten, profitieren Sie von unserem automatischen Update-Service. Beim Erscheinen einer neuen Version wird innerhalb kurzer Zeit direkt das Update aufgespielt.

Kommentare

Keine Kommentare

Kommentar schreiben

* Diese Felder sind erforderlich


Kundenmagazin
Download (PDF)

Das sagen unsere Kunden