2020-2526: TYPO3 Extensions: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2020-11-17 16:31)
- Neues Advisory
- Version 2 (2020-11-18 12:55)
- Zwei weitere Schwachstellen in TYPO3 Erweiterungen ermöglichen einem Angreifer aus der Ferne das Ausspähen von Informationen und die Durchführung eines Denial-of-Service (DoS)-Angriffs. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Um die Schwachstelle in der TYPO3 Erweiterung View frontend statistics vollständig zu beheben, muss das Feld 'request_params' in der Tabelle 'tx_viewstatistics_domain_model_track' entweder mit Hilfe des TYPO3-Installtools oder manuell gelöscht werden. Für die betroffene Erweiterung View frontend statistics (view_statistics) steht die Version 2.0.1 und für die Authenticator" (defbu_authenticator) die Versionen 1.0.3 als Sicherheitsupdates zur Verfügung.
Betroffene Software
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Für die erfolgreiche Ausnutzung der Cross-Site-Scripting (XSS)-Schwachstelle ist die Interaktion eines Benutzers erforderlich.
Für die betroffene Erweiterung phpMyAdmin steht die Version 5.6.4 als Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung.
Schwachstellen:
CVE-2020-26934
Schwachstelle in phpMyAdmin ermöglicht Cross-Site-Scripting-AngriffCVE-2020-26935
Schwachstelle in phpMyAdmin ermöglicht SQL-Injection-AngriffTYPO3-EXT-SA-2020-019
Schwachstelle in TYPO3-Erweiterung View frontend statistics ermöglicht Ausspähen von InformationenTYPO3-EXT-SA-2020-020
Schwachstelle in TYPO3-Erweiterung Authenticator ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.