2021-2344: TYPO3 Extensions: Mehrere Schwachstellen ermöglichen u. a. einen Server-Side-Request-Forgery-Angriff

Historie:

Version 1 (2021-11-10 17:46)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um einen Server-Side-Request-Forgery-Angriff durchzuführen, Informationen auszuspähen, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Für die betroffene Erweiterung jobfair stehen die Versionen 1.0.13 und 2.0.2, für pixxio die Version 1.0.6, für codehighlight die Version 2.7.0 und für google_for_jobs die Versionen 1.5.1 und 2.1.1 als Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2021-43561

Schwachstelle in TYPO3-Erweiterung google_for_jobs ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-43562 CVE-2021-43563

Schwachstellen in TYPO3-Erweiterung pixxio ermöglichen u. a. Server-Side-Request-Forgery-Angriff

CVE-2021-43564

Schwachstelle in TYPO3-Erweiterung jobfair ermöglicht Ausspähen von Informationen

TYPO3-EXT-SA-2021-016

Schwachstelle in TYPO3-Erweiterung codehighlight ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.