2018-2377: TYPO3, TYPO3 Extension: Mehrere Schwachstellen ermöglichen u. a. verschiedene Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2018-11-20 15:30)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen in der Erweiterung 'libconnect' für Cross-Site-Scripting (XSS)-Angriffe ausnutzen.

Zur Behebung der Schwachstellen steht die Version 5.3.2 der Erweiterung zum Download zur Verfügung.

Zeitgleich mit den Informationen zu den Schwachstellen in der Erweiterung veröffentlicht das TYPO3 Sicherheitsteam eine Warnung bezüglich des Einsatzes von TYPO3 auf NGINX-Webservern (TYPO3-PSA-2018-002). Hier ist es möglich, über einfache HTTP-GET-Anfragen sensible Informationen zur Konfiguration der TYPO3-Umgebung auszuspähen, wenn die Zugriffsbeschränkungen des Servers nicht strikt genug sind. Es steht eine aktualisierte Version der TYPO3 Sicherheitsrichtlinien (Security Guidelines) zur Verfügung, in der zusätzliche Hinweise zur Webserverkonfiguration gegeben werden.

Schwachstellen:

TYPO3-EXT-SA-2018-010

Schwachstellen in TYPO3-Erweiterung 'libconnect' ermöglichen Cross-Site-Scripting-Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.