2023-1354: TYPO3 Extension: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-06-13 16:20)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, einen SQL-Injection-Angriff, einen Cross-Site-Scripting (XSS)-Angriff sowie verschiedene Server-Side Request Forgery (SSRF)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Für die Erweiterung 'Faceted Search' (ke_search) stehen die Versionen 4.0.3, 4.6.6 und 5.0.2 sowie für die Erweiterung 'ipandlanguageredirect (ipandlanguageredirect) die Version 5.1.2 als Sicherheitsupdates über den TYPO3 Extension Manager, über packagist und als direkter Download zur Verfügung. Für die Erweiterung 'Canto Extension' (canto_extension) empfiehlt der Hersteller diese zu deinstallieren bzw. zu löschen und nach alternativen Erweiterungen im TYPO3 Extension Repository zu suchen, da der Autor der Erweiterung es nicht geschafft hat, innerhalb einer angemessenen Zeitspanne ein Sicherheitsupdate für die gemeldete Schwachstelle bereitzustellen.

Schwachstellen:

TYPO3-EXT-SA-2023-004

Schwachstelle in TYPO3 Extension ermöglicht Cross-Site-Scripting-Angriff

TYPO3-EXT-SA-2023-005

Schwachstelle in TYPO3 Extension ermöglicht SQL-Injection-Angriff

TYPO3-EXT-SA-2023-006

Schwachstellen in TYPO3 Extension ermöglichen u. a. Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.