2019-1291: TYPO3: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-06-25 18:13)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in TYPO3 ermöglichen einem entfernten, einfach authentifizierten Angreifer mit Zugriff auf das TYPO3-Backend die Ausführung beliebigen Programmcodes, einen Cross-Site-Scripting (XSS)-Angriff, die Eskalation von Privilegien und das Ausspähen von Informationen. Ein entfernter, nicht authentisierter Angreifer kann ebenfalls einen Cross-Site-Scripting-Angriff durchführen und eine zusätzliche Schwachstelle in Symfony für einen Denial-of-Service (DoS)-Angriff durch das Löschen von Dateien ausnutzen. Ein lokaler, nicht authentisierter Angreifer kann Zugriff auf die Sitzungsdaten einer bereits beendeten Sitzung erhalten.

Der Hersteller stellt Sicherheitsupdates für TYPO3 auf Version 9.5.8 (LTS) und 8.7.27 (LTS) zur Verfügung, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2019-10912

Schwachstelle in Symfony ermöglicht u. a. Denial-of-Service-Angriff

CVE-2019-12747

Schwachstelle in TYPO3 ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-12748

Schwachstelle in TYPO3 ermöglicht Cross-Site-Scripting-Angriff

TYPO3-CORE-SA-2019-014

Schwachstelle in TYPO3 ermöglicht Ausspähen von Informationen

TYPO3-CORE-SA-2019-017

Schwachstelle in TYPO3 ermöglicht Privilegieneskalation

TYPO3-CORE-SA-2019-018

Schwachstelle in TYPO3 ermöglicht Ausspähen von Informationen

TYPO3-CORE-SA-2019-019

Schwachstelle in TYPO3 ermöglicht u. a. Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.