2018-1563: TYPO3 Extensions: Mehrere Schwachstellen ermöglichen u. a. verschiedene Cross-Site-Scripting-Angriffe
Historie:
- Version 1 (2018-08-09 18:51)
- Neues Advisory
Betroffene Software
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in den TYPO3-Erweiterungen 'Heise Shariff, 'Powermail' und 'Frontend Treeview ' ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung von Cross-Site-Scripting (XSS)-Angriffen. Mehrere weitere Schwachstellen in den Erweiterungen 'Register to tt_address' und 'Front End User Registration' sowie 'AWS S3 FAL driver (CDN)', 'AWS SDK for PHP' und 'Amazon Web Services SDK' (letztere: siehe HTTPOXY, CVE-2016-5385) ermöglichen dem Angreifer das Umgehen von Sicherheitsvorkehrungen. Eine Schwachstelle in der TYPO3-Erweiterung 'TemplaVoilà! Plus' ermöglicht einem entfernten, einfach authentifizierten Angreifer das Ausspähen von Informationen.
Für die als schwerwiegend (Severity: High) eingestuften Schwachstellen in den Erweiterungen 'Frontend Treeview' (mh_treeview) und 'Amazon Web Services SDK' (aws_sdk) haben die jeweiligen Hersteller bisher kein Sicherheitsupdate bereitgestellt. Die Erweiterungen können dementsprechend nicht mehr über die TYPO3-Erweiterungsdatenbank bezogen werden. Das TYPO3-Projekt rät allen Nutzern dazu, diese Erweiterungen sofort zu deinstallieren.
Für die übrigen Erweiterungen stehen Sicherheitsupdates zur Behebung der jeweiligen Schwachstellen zur Verfügung. Weitere Informationen zu den betroffenen Versionen und den jeweiligen Patches befinden sich in den Referenzen.
Schwachstellen:
TYPO3-EXT-SA-2018-001
Schwachstelle in TYPO3-Erweiterung 'Heise Shariff' ermöglicht Cross-Site-Scripting-AngriffTYPO3-EXT-SA-2018-002
Schwachstelle in TYPO3-Erweiterung 'Register to tt_address' ermöglicht Umgehen von SicherheitsvorkehrungenTYPO3-EXT-SA-2018-003
Schwachstelle in TYPO3-Erweiterung 'Amazon AWS S3 FAL driver (CDN)' ermöglicht Umgehen von SicherheitsvorkehrungenTYPO3-EXT-SA-2018-004
Schwachstelle in TYPO3-Erweiterung 'Powermail' ermöglicht Cross-Site-Scripting-AngriffTYPO3-EXT-SA-2018-005
Schwachstelle in TYPO3-Erweiterung 'AWS SDK for PHP' ermöglicht Umgehen von SicherheitsvorkehrungenTYPO3-EXT-SA-2018-006
Schwachstelle in TYPO3-Erweiterung 'Front End User Registration' ermöglicht Umgehen von SicherheitsvorkehrungenTYPO3-EXT-SA-2018-007
Schwachstelle in TYPO3-Erweiterung 'Amazon Web Services SDK' ermöglicht Umgehen von SicherheitsvorkehrungenTYPO3-EXT-SA-2018-008
Schwachstelle in TYPO3-Erweiterung 'Frontend Treeview' ermöglicht Cross-Site-Scripting-AngriffTYPO3-EXT-SA-2018-009
Schwachstelle in TYPO3-Erweiterung 'TemplaVoilà! Plus' ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.