Alert!

CMS: Typo3-Entwickler dichten zehn Sicherheitslücken ab

Das Content-Management-System Typo3 schließt mit aktualisierten Paketen zehn Sicherheitslücken.

1

(Bild: Shutterstock/Kaspars Grinvalds)

10:59 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Im Content-Management-System Typo3 haben die Entwickler zehn Sicherheitslücken gemeldet. Aktualisierte Versionen von Typo3 stehen bereit, die die teils hochriskanten Schwachstellen ausbessern.

Die meisten Sicherheitslecks sind vom Typ Cross-Site-Scripting. Angreifer können Opfern dadurch Links unterschieben, die bösartigen Code in deren Benutzerkontext einschleusen und ausführen. Laut Beschreibung der schwerwiegendsten Lücke im Scheduler-Modul reicht dafür das Besuchen einer kompromittierten oder manipulierten Webseite bereits aus.

IT-Verantwortliche sollten aufgrund des Schweregrads einiger der Lücken die aktualisierten Software-Versionen zügig installieren. Die sicherheitsrelevanten Fehler korrigieren die Typo3-Versionen 9.5.49 ELTS, 10.4.48 ELTS,11.5.42 ELTS, 12.4.25 LTS, 13.4.3 LTS. Sie sind auf der Typo3-Downloadseite erhältlich. Insbesondere die Aktualisierungen für die 10er- und 11er-Entwicklungszweige erhalten in der kostenlosen Fassung jedoch keine Unterstützung mehr, hier müssen Nutzerinnen und Nutzer auf die 12er- oder 13er-Version umsteigen. Wo Betroffene das Update auf Typo3 9.5.49 ELTS erhalten können, erklären die Sicherheitsmitteilungen jedoch nicht.

Die Sicherheitslücken im Einzelnen:

Cross-Site Request Forgery in Scheduler Module CVE-2024-55924, CVSS 8.0, hoch
Cross-Site Request Forgery in Extension Manager Module CVE-2024-55921, CVSS 7.5, hoch
Cross-Site Request Forgery in Form Framework Module CVE-2024-55922, CVSS 5.4, mittel
Potential Open Redirect via Parsing Differences CVE-2024-55892, CVSS 4.8, mittel
Cross-Site Request Forgery in Backend User Module CVE-2024-55894, CVSS 4.3, mittel
Cross-Site Request Forgery in Dashboard Module CVE-2024-55920, CVSS 4.3, mittel
Cross-Site Request Forgery in DB Check Module CVE-2024-55945, CVSS 4.3, mittel
Cross-Site Request Forgery in Indexed Search Module CVE-2024-55923, CVSS 4.3, mittel
Cross-Site Request Forgery in Log Module CVE-2024-55893, CVSS 4.3, mittel
Information Disclosure via Exception Handling/Logger CVE-2024-55891, CVSS 3.1, niedrig

Lesen Sie auch

Woman,Creating,Her,Own,Website,On,Computer, Wordpress, CMS, Bildschirm, Webseite,

CMS Typo3: Hochriskante XSS-Lücke ermöglicht Unterschieben von schädlichem HTML

Zuletzt fielen hochriskante Schwachstellen in Typo3 Anfang 2023 auf. Auch da ermöglichte eine Cross-Site-Scripting-Lücke das Einschleusen von bösartigem HTML-Code.