2019-0914: TYPO3: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-05-08 16:37): Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Zwei Schwachstellen in TYPO3 ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und einen Cross-Site-Scripting (XSS)-Angriff. Mehrere weitere Schwachstellen ermöglichen einem entfernten, einfach authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen und das Ausspähen von Informationen.

Zusätzlich veröffentlicht die TYPO3 Community mehrere Public Service Announcements, die die Drittanbieterkomponenten jQuery (CVE-2019-11358) und Bootstrap CSS (CVE-2019-8331), die mittlerweile in die Kernsoftware integrierte Erweiterung 'Salted Passwords' und die Komponente 'PharStreamWrapper' betreffen. Hierdurch sind einem zumeist entfernten, nicht authentisierten Angreifer weitere Cross-Site-Scripting-Angriffe, das Ausspähen von Informationen und die Ausführung beliebigen Programmcodes nach dem Umgehen von Sicherheitsvorkehrungen möglich.

Der Hersteller stellt Sicherheitsupdates für TYPO3 auf Version 9.5.6 (LTS) und 8.7.25 (LTS) zur Verfügung, um die Schwachstellen zu beheben und die in den Public Service Announcements beschriebenen Probleme zu adressieren.

Schwachstellen:

CVE-2019-11358

Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-8331

Schwachstelle in Bootstrap ermöglicht Cross-Site-Scrpiting-Angriff

TYPO3-CORE-SA-2019-009

Schwachstelle in TYPO3 ermöglicht Ausspähen von Informationen

TYPO3-CORE-SA-2019-010

Schwachstelle in TYPO3 ermöglicht Ausspähen von Informationen

TYPO3-CORE-SA-2019-011

Schwachstelle in TYPO3 ermöglicht Umgehen von Sicherheitsvorkehrungen

TYPO3-CORE-SA-2019-012

Schwachstelle in TYPO3 ermöglicht Ausführung beliebigen Programmcodes

TYPO3-CORE-SA-2019-013

Schwachstelle in TYPO3 ermöglicht Cross-Site-Scripting-Angriff

TYPO3-PSA-2019-006