Lücken im Content-Management-System hätten Angreifern schlimmstenfalls Admin-Rechte gewähren können. Die neue Typo3-Version 11.5 bannt die Gefahr.
Die Entwickler des freien CMS Typo3 haben mit Version 11.5.0 zwei Sicherheitslücken geschlossen, von denen eine ein hohes und die andere ein niedriges bis mittleres Risiko barg. Typo3-Admins sollten ein Upgrade ihrer Installation(en) vornehmen, sofern eine verwundbare Version im Einsatz ist.
Die zweite Sicherheitslücke CVE-2021-41114 (mit einem CVSS-Score 4.8/Medium laut NVD, aber einer "Low"-Einstufung laut Typo3-Advisory) besteht in Typo3 11.0.0-11.4.0. Laut Beschreibung entspricht sie einer älteren Lücke, deren Behebung im Zuge von Code-Umbauten wieder ausgehebelt wurde. Sie basiert auf einer unzureichenden Validierung des HTTP Host Headers die dazu führt, dass Manipulationen unter Umständen unerkannt bleiben und Spoofing-Angriffe möglich sind. Weitere Details sind auch hier einem
Quelle: heise
Die Entwickler des freien CMS Typo3 haben mit Version 11.5.0 zwei Sicherheitslücken geschlossen, von denen eine ein hohes und die andere ein niedriges bis mittleres Risiko barg. Typo3-Admins sollten ein Upgrade ihrer Installation(en) vornehmen, sofern eine verwundbare Version im Einsatz ist.
Admin-Rechte dank Sicherheitslücke
Laut demDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
steckt CVE-2021-41113 (CVSS-Score 8.8 / High) in den Typo3-Versionen 11.2.0 bis einschließlich 11.4.0. Ein Angreifer könnte die Lücke demnach ohne jegliche Authentifizierung ausnutzen, um einen neuen Admin-Account anzulegen und das CMS somit vollständig zu kompromittieren. Wie aus einer ausführlicheren
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
hervorgeht, ist eine auf der Lücke basierende sogenannte Cross-Site-Request-Forgery (CSRF) allerdings nur im Zuge der Interaktion eines legitimen Nutzers mit dem CMS (aktive Session) möglich.Die zweite Sicherheitslücke CVE-2021-41114 (mit einem CVSS-Score 4.8/Medium laut NVD, aber einer "Low"-Einstufung laut Typo3-Advisory) besteht in Typo3 11.0.0-11.4.0. Laut Beschreibung entspricht sie einer älteren Lücke, deren Behebung im Zuge von Code-Umbauten wieder ausgehebelt wurde. Sie basiert auf einer unzureichenden Validierung des HTTP Host Headers die dazu führt, dass Manipulationen unter Umständen unerkannt bleiben und Spoofing-Angriffe möglich sind. Weitere Details sind auch hier einem
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
sowie dem
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
zu entnehmen.Weitere Informationen zur neuen Typo3-Version
Typo3 11.5 ("Warp Speed") umfasst neben den Lücken-Fixes auch eine 2FA-Implementierung im Backend als weitere sicherheitsrelevante Aktualiseirung. Außerdem soll die neue Version flotter laufen und mit Neuerungen bei der Dateiverwaltung punkten.Quelle: heise
