2019-2671: TYPO3 Extensions: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2019-12-18 15:06)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

In den TYPO3-Erweiterungen 'MKSamlAuth', 'Change password for frontend users', 'File List', 'femanager direct mail subscription' und 'femanager' existieren mehrere Schwachstellen. Ein entfernter, nicht authentisierter Angreifer kann die Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Request-Forgery (CSRF)-Angriff oder einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Weitere Schwachstellen ermöglichen einem entfernten, einfach authentisierten Angreifer seine Privilegien zu erweitern oder ebenfalls einen Cross-Site-Request-Forgery (CSRF)-Angriff durchzuführen.

Für die Erweiterungen stehen Sicherheitsupdates zur Behebung der jeweiligen Schwachstellen zur Verfügung. Weitere Informationen zu den betroffenen Versionen und den jeweiligen Patches finden sich in den Referenzen.

Schwachstellen:

TYPO3-EXT-SA-2019-019

Schwachstelle in TYPO3-Erweiterung ermöglicht Umgehen von Sicherheitsvorkehrungen

TYPO3-EXT-SA-2019-020

Schwachstelle in TYPO3-Erweiterung ermöglicht Cross-Site-Request-Forgery-Angriff

TYPO3-EXT-SA-2019-021

Schwachstelle in TYPO3-Erweiterung ermöglicht Cross-Site-Scripting-Angriff

TYPO3-EXT-SA-2019-022

Schwachstelle in TYPO3-Erweiterung ermöglicht Privilegieneskalation

TYPO3-EXT-SA-2019-023

Schwachstelle in TYPO3-Erweiterung ermöglicht Cross-Site-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.