2020-1459: TYPO3 Erweiterungen: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-07-07 18:19)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

In den TYPO3 Erweiterungen 'typo3_forum', 'Google reCAPTCHA', 'Turn!', 'mm_forum' und 'Faceted Search' existieren mehrere Schwachstellen. Ein entfernter Angreifer, in den meisten Fällen mit üblichen Benutzerrechten, kann beliebigen Programmcode zur Ausführung bringen, Cross-Site-Scripting (XSS)- und Cross-Site-Request-Forgery (CSRF)-Angriffe durchführen und Sicherheitsvorkehrungen umgehen. Mehrere Angriffe erfordern die Interaktion eines Benutzers und können Einfluss auf weitere Komponenten betroffener Systeme haben.

Für die betroffenen Erweiterungen stehen Sicherheitsupdates zur Behebung der jeweiligen Schwachstellen zur Verfügung. Weitere Informationen zu den betroffenen Versionen und den jeweiligen Patches befinden sich in den Referenzen.

Für die Schwachstelle CVE-2020-15516 wird es kein Sicherheitsupdate geben, da die Erweiterung 'mm_forum' nicht mehr unterstützt wird.

Schwachstellen:

CVE-2020-15513

Schwachstelle in TYPO3-Erweiterung typo3_forum ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-15514

Schwachstelle in TYPO3-Erweiterung Google reCAPTCHA ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-15515

Schwachstelle in TYPO3-Erweiterung Turn! ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-15516

Schwachstelle in TYPO3-Erweiterung mm_forum ermöglicht u. a. Cross-Site-Scripting-Angriff

CVE-2020-15517

Schwachstelle in TYPO3-Erweiterung Faceted Search ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.