2019-0923: TYPO3 Extensions: Mehrere Schwachstellen ermöglichen u. a. verschiedene Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2019-05-08 20:02)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in den TYPO3-Erweiterungen 'Faceted Search', 'Event Calender' und 'comsolit Suggest' ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung von SQL-Injection-Angriffen. Zwei weitere Schwachstellen in den Erweiterungen 'gkh RSS Import' und 'Instagram' ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung von Cross-Site-Scripting (XSS)-Angriffen. Weitere Schwachstellen in den Erweiterungen 'phpMyAdmin', 'ImageOptimizer', 'Hairu' und 'Yet Another Gallery' ermöglichen entfernten, meist nicht authentisierten Angreifern das Ausspähen von Informationen, die Ausführung beliebigen Programmcodes, Open-Redirect-Angriffe und das Umgehen von Sicherheitsvorkehrungen.

Für die meisten Erweiterungen stehen Sicherheitsupdates zur Behebung der jeweiligen Schwachstellen zur Verfügung. Einige Erweiterungen werden nicht mehr weiterentwickelt und Sicherheitslücken auch nicht mehr geschlossen. Das TYPO3-Projekt rät allen Nutzern dazu, diese Erweiterungen zu deinstallieren. Weitere Informationen zu den betroffenen Versionen und den jeweiligen Patches finden sich in den Referenzen.

Schwachstellen:

TYPO3-EXT-SA-2019-005

Schwachstelle in TYPO3-Erweiterung 'Faceted Search' (ke_search) ermöglicht SQL-Injection-Angriff

TYPO3-EXT-SA-2019-006

Schwachstelle in TYPO3-Erweiterung 'Hairu' (hairu) ermöglicht Open-Redirect-Angriff

TYPO3-EXT-SA-2019-007

Schwachstelle in TYPO3-Erweiterung 'ImageOptimizer' (imageoptimizer) ermöglicht Ausführung beliebigen Programmcodes

TYPO3-EXT-SA-2019-008

Schwachstelle in TYPO3-Erweiterung 'phpMyAdmin' (phpMyAdmin) ermöglicht Ausspähen von Informationen

TYPO3-EXT-SA-2019-009

Schwachstelle in TYPO3-Erweiterung 'gkh RSS Import' (gkh_rss_import) ermöglicht Cross-Site-Scripting-Angriff

TYPO3-EXT-SA-2019-010

Schwachstelle in TYPO3-Erweiterung 'Instagram' (ws_instagram) ermöglicht Cross-Site-Scripting-Angriff

TYPO3-EXT-SA-2019-011

Schwachstelle in TYPO3-Erweiterung 'Event Calender' (pits_wd_calender) ermöglicht SQL-Injection-Angriff

TYPO3-EXT-SA-2019-012

Schwachstelle in TYPO3-Erweiterung 'Yet Another Gallery' (yag) ermöglicht u. a. Manipulation von Dateien

TYPO3-EXT-SA-2019-013

Schwachstelle in TYPO3-Erweiterung 'comsolit Suggest' (comsolit_suggest) ermöglicht SQL-Injection-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.