2026-2090: TYPO3 Extension: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2026-05-20 07:28): Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, einen Path-Traversal-Angriff durchzuführen, SQL-Injection-Angriffe durchzuführen, Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und stellt Sicherheitsupdates für die TYPO3-Erweiterungen 'Content Element Selector' (ceselector) in den Versionen 6.0.1, 5.0.1, 4.0.2 und 3.0.3, 'Address List' (tt_address) in den Versionen 10.0.1, 9.1.1 und 8.1.2, 'Faceted Search' (ke_search) in den Versionen 7.0.1, 6.6.1 und 5.6.2, 'News system' (news) in den Versionen 14.0.3, 13.0.2, 12.3.2 und 11.4.4, 'Frontend User Registration' (sf_register) in den Versionen 14.0.2 und 13.2.4 sowie 'Site Crawler' (crawler) in den Versionen 12.0.11 und 11.0.13 bereit, um die Schwachstellen zu schließen.

Schwachstellen:

CVE-2026-46721

Schwachstelle in TYPO3 Extension ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2026-46722

Schwachstelle in TYPO3 Extension ermöglicht Ausspähen von Informationen

CVE-2026-46723

Schwachstelle in TYPO3 Extension ermöglicht Ausspähen von Informationen

CVE-2026-46724

Schwachstelle in TYPO3 Extension ermöglicht Path-Traversal-Angriff

CVE-2026-46725

Schwachstelle in TYPO3 Extension ermöglicht Ausführen beliebigen Programmcodes

CVE-2026-8726

Schwachstelle in TYPO3 Extension ermöglicht SQL-Injection-Angriff

CVE-2026-8727