Updates für hochriskantes Leck in Typo3 verfügbar

10. Februar 2023 - Eine Cross-Site-Scripting-Lücke im Content Management System Typo3 ermöglicht es Angreifern, Code einzuschleusen. Ein baldiges Einspielen der jetzt veröffentlichten Updates wird empfohlen.

Im beliebten Content Management System Typo3 wurde eine Sicherheitslücke entdeckt, wie "Heise" berichtet . Die Schwachstelle soll es Angreifern ermöglichen, via Cross-Site-Scripting schadhaften Code einzuschleusen. Wie die Macher in einem Security Advisory erklären , nutzt die Typo3-Kernkomponente GeneralUtility::getIndpEnv() die ungefilterte CGI-Variable path_info, wodurch ein Angreifer Schadcode einschleusen kann. Der eingebrachte Schadcode wird sodann zwischengespeichert und an Site-Besucher weitergegeben. Vom Fehler betroffen sind die Typo3-Versionen 8.7.0 bis 8.7.50, 9.0.0 bis 9.5.39, 10.0.0 bis 10.4.34, 11.0.0 bis 11.5.22 sowie 12.0.0 bis 12.1.3, die auf Microsofts IIS oder dem Apache-Webserver laufen. Ob auch ngingx betroffen ist, ist unklar.Um die Schwachstelle auszumerzen, wird die Einspielung der aktualisierten Versionen 8.7.51 ELTS, 9.5.40 ELTS, 10.4.36 LTS, 11.5.23 LTS oder 12.2.0 empfohlen, bei denen die Nutzung der path_info-Variable korrigiert wurde. (rd)