2021-0552: TYPO3 Extension: Mehrere Schwachstellen ermöglichen u. a. einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2021-03-16 16:57)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren und einen Regular Expression Denial-of-Service (ReDoS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle aus der Ferne ausnutzen, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Diese Schwachstelle erfordert die Interaktion eines Benutzers. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich und die erfolgreiche Ausnutzung der Schwachstellen kann Einfluss auf andere Komponenten haben.

Für die betroffene Erweiterung 'Aimeos shop and e-commerce framework' (aimeos) stehen die Versionen 20.10.5 und 19.10.12, für die Erweiterung 'Code Highlight' (codehighlight) die Version 2.5.0 und für die Erweiterung 'VHS: Fluid ViewHelpers' (vhs) die Version 5.1.1 als Sicherheitsupdates zur Verfügung.

Schwachstellen:

CVE-2021-28380

Schwachstelle in TYPO3 Extension ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-28381

Schwachstelle in TYPO3 Extension ermöglicht Manipulation von Dateien

TYPO3-EXT-SA-2021-002

Schwachstelle in TYPO3 Extension ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.