Typo3: Sicherheitslücken in CMS geschlossen

Die Entwickler von Typo3 haben kürzlich zehn Sicherheitslücken identifiziert. Diese Schwachstellen sind teils hochriskant. Aktualisierte Versionen des CMS stehen nun bereit um die Sicherheitsprobleme zu beheben.



Typen der Sicherheitslücken


Die Mehrheit der entdeckten Sicherheitslecks gehört der Kategorie Cross-Site-Scripting an. Durch diese Lücken können Angreifer Links an Nutzer übermitteln. Bösartiger Code wird damit in den Benutzerkontext eingeführt und ausgeführt. Besonders schwerwiegend ist die Lücke im Scheduler-Modul. Bereits das bloße Besuchen einer betroffenen Webseite kann genügen.



Dringlichkeit für IT-Verantwortliche


Es ist für IT-Verantwortliche von höchster Wichtigkeit die neuen Software-Versionen zeitnah zu implementieren. Der Schweregrad einiger Sicherheitslücken rechtfertigt dies. Die Typo3-Versionen 9.5.49 ELTS, 10.4.48 ELTS, 11.5.42 ELTS, 12.4.25 LTS und 13.4.3 LTS korrigieren die sicherheitsrelevanten Fehler. Diese Versionen sind auf der Typo3-Downloadseite zugänglich.



Veränderungen bei Unterstützung


Eine besondere Anmerkung gilt den 10er- und 11er-Entwicklungszweigen. Diese Versionen erhalten in der kostenlosen Fassung keine Unterstützung mehr. Nutzer müssen auf die Versionen 12 oder 13 umsteigen. Informationen darüber wo das Update auf Typo3 9.5.49 ELTS verfügbar ist, vermissen bislang die Sicherheitsmitteilungen.



## Details zu den Sicherheitslücken

Die Sicherheitslücken im Detail sind folgendermassen aufgeführt:
  • CVE-2024-55924: Cross-Site Request Forgery im Scheduler-Modul – CVSS 8.0 (hoch)
  • CVE-2024-55921: Cross-Site Request Forgery im Extension Manager Modul – CVSS 7.5 (hoch)
  • CVE-2024-55922: Cross-Site Request Forgery im Form Framework Modul – CVSS 5.4 (mittel)
  • CVE-2024-55892: Potenzieller Open Redirect durch Parsing-Differenzen – CVSS 4.8 (mittel)
  • CVE-2024-55894: Cross-Site Request Forgery im Backend User Modul – CVSS 4.3 (mittel)
  • CVE-2024-55920: Cross-Site Request Forgery im Dashboard Modul – CVSS 4.3 (mittel)
  • CVE-2024-55945: Cross-Site Request Forgery im DB Check Modul – CVSS 4.3 (mittel)
  • CVE-2024-55923: Cross-Site Request Forgery im Indexed Search Modul – CVSS 4.3 (mittel)
  • CVE-2024-55893: Cross-Site Request Forgery im Log Modul – CVSS 4.3 (mittel)
  • CVE-2024-55891: Informations Offenlegung über Exception Handling/Logger – CVSS 3.1 (niedrig)

Rückblick auf vergangene Schwachstellen


Bereits Anfang 2023 wurden hochriskante Schwachstellen in Typo3 festgestellt. Auch damals ermöglichte eine Cross-Site-Scripting-Lücke das Einschleusen von gefährlichem HTML-Code.






Kommentare


Anzeige