2017-2302: TYPO3 Extensions: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-12-20 12:53)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in den TYPO3-Erweiterungen 'Caretaker', 'JobControl', 'DRC News Comment' und 'Smallads' ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung von Cross-Site-Scripting (XSS)-Angriffen. Zwei Schwachstellen in den Erweiterungen 'JobControl' und 'Download Center' ermöglichen dem Angreifer SQL-Injektions-Angriffe und damit das Ausspähen von Informationen und die Manipulation von Daten der Datenbank. Durch eine weitere Schwachstelle in der Erweiterung 'DRC News Comment' kann der Angreifer beliebigen Programmcode zur Ausführung bringen und eine Schwachstelle in der Erweiterung 'Frontend User Registration' ermöglicht dem Angreifer die einfache Übernahme der Kontrolle über Frontend-Benutzerkonten.

Für die als kritisch eingestufte Schwachstelle in der Erweiterung JobControl (dmmjobcontrol) gibt es kein Sicherheitsupdate, da diese Erweiterung nicht mehr weiterentwickelt wird. TYPO3 hat die Erweiterung dementsprechend bereits aus der Erweiterungsdatenbank gelöscht und rät allen Nutzern dazu, die Erweiterung sofort zu deinstallieren. Für die übrigen Erweiterungen stehen Sicherheitsupdates zur Behebung der jeweiligen Schwachstellen zur Verfügung. Weitere Informationen zu den betroffenen Versionen und den jeweiligen Patches befinden sich in den Referenzen.

Schwachstellen:

TYPO3-EXT-SA-2017-015

Schwachstelle in TYPO3-Erweiterung Smallads ermöglicht Cross-Site-Scripting-Angriff

TYPO3-EXT-SA-2017-016

Schwachstelle in TYPO3-Erweiterung Download Center ermöglicht SQL-Injektions-Angriff

TYPO3-EXT-SA-2017-017

Schwachstelle in TYPO3-Erweiterung Frontend User Registration ermöglicht u.a. Umgehen von Sicherheitsvorkehrungen

TYPO3-EXT-SA-2017-018

Schwachstellen in TYPO3-Erweiterung DRC News Comment ermöglichen u.a. Ausführung beliebigen Programmcodes

TYPO3-EXT-SA-2017-019

Schwachstellen in TYPO3-Erweiterung JobControl ermöglichen u.a. SQL-Injektions-Angriff

TYPO3-EXT-SA-2017-020

Schwachstelle in TYPO3-Erweiterung Caretaker ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.