Angreifer können eine Cross-Site-Scripting-Schwachstelle im Content Management System TYPO3 ausnutzen, um bösartigen HTML-Code einzuschleusen.
Der Sicherheitshinweis, der sich eher an Entwickler richtet, lautet wie folgt: "Die TYPO3-Kernkomponente GeneralUtility::getIndpEnv() verwendet die ungefilterte Server-Umgebungsvariable PATH_INFO, wodurch Angreifer bösartigen Inhalt einschleusen können. In Kombination mit der TypoScript-Einstellung config.absRefPrefix=auto kann ein Angreifer bösartigen HTML-Code in Seiten einfügen, die noch nicht gerendert und zwischengespeichert wurden. Die injizierten Werte werden dann zwischengespeichert und an andere Besucher der Website ausgegeben".
Das Common Vulnerability Scoring System bewertet die Lücke mit "hoch" (CVE-2023-24814, CVSS 8.8).
Der Fehler betrifft die Typo3-Versionen 8.7.0-8.7.50, 9.0.0-9.5.39, 10.0.0-10.4.34, 11.0.0-11.5.22 und 12.0.0-12.1.3. Seit kurzem bietet das Projekt auf der TYPO3-Website aktualisierte Versionen 12.2.0, 11.5.23 und 10.4.36 zum Download an. Administratoren wird aufgrund der Schwere der Schwachstelle empfohlen, diese schnell herunterzuladen und einzuspielen.
Wenn Sie Ihr TYPO3-Websiteprojekt bei uns hosten, profitieren Sie von unserem automatischen Update-Service. Beim Erscheinen einer neuen Version wird innerhalb kurzer Zeit direkt das Update aufgespielt.
"NET.THINKS hat uns überzeugt. Die Umsetzung unserer Vorstellung wurde professionell und versiert realisiert. Die Zusammenarbeit macht Spaß und es sind immer tolle Projekte entstanden. Wir können NET.THINKS weiterempfehlen und freuen uns auf eine weitere Zusammenarbeit."
"Herr Engler hat uns sehr kompetent und umfassend beraten. Unsere Wünsche wurden auf der Website zu unserer vollsten Zufriedenheit umgesetzt. Auch bei späteren Änderungen oder Hilfestellungen hat Herr Engler immer sehr schnell reagiert. Wir können ihn absolut empfehlen."
"NET.THINKS betreut uns schon seit Jahren. In der Zwischenzeit haben wir bereits schon unser zweites Projekt gemeinsam und erfolgreich umgesetzt. Wir freuen uns auf zahlreiche weitere Projekte. Einen herzlichen Dank an Herrn Engler. Kann ihn nur wärmstens weiterempfehlen!“
"Flexibel, kreativ und zuverlässig. Eine Agentur, die man sich näher anschauen sollte! Das erste gemeinsame Projekt hat nicht nur ein tolles Ergebnis geliefert, sondern auch Spaß in der Zusammenarbeit gemacht."
Kommentare
Keine Kommentare