2022-0925: TYPO3 Extensions: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2022-04-26 14:42)
- Neues Advisory
Betroffene Software
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführe, SQL-Programmcode zu injizieren sowie Cross-Site-Scripting (XSS)-Angriffe durchzuführen und in einem Server-Side-Request-Forgery (SSRF)-Angriff Informationen auszuspähen.
Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Die Schwachstelle CVE-2021-29625 erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung dieser und einer weiteren Schwachstelle kann Einfluss auf andere Komponenten haben.
Die Erweiterung "Job portal" (psvneo_jobfair) kann über den Composer auf Version 3.0.1 aktualisiert werden. Sicherheitsupdates für die anderen Erweiterungen stehen über das TYPO3 Extension Repository im TYPO3 Extension Manager bereit. Dies sind: "Adminer" (t3adminer) 9.6.1, "Grid Elements" (gridelements) 10.3.0, 9.8.0, 8.8.0 und 7.7.0, "One is Enough Library" (oelib) 4.1.6 sowie "Seminar Manager" (seminars) 4.1.4.
Schwachstellen:
CVE-2018-7667
Schwachstelle in Adminer ermöglicht Server-Side-Request-Forgery-AngriffCVE-2021-29625
Schwachstelle in Adminer ermöglicht Cross-Site-Scripting-AngriffCVE-2022-29600
Schwachstelle in TYPO3-Erweiterung One is Enough Library ermöglicht SQL-InjektionCVE-2022-29601
Schwachstelle in TYPO3-Erweiterung Seminar Manager ermöglicht SQL-InjektionCVE-2022-29602
Schwachstelle in TYPO3-Erweiterung Grid Elements ermöglicht Cross-Site-Scripting-AngriffTYPO3-EXT-SA-2022-005
Schwachstelle in TYPO3-Erweiterung Job portal ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.