Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

CMS Typo3: Hochriskante XSS-Lücke ermöglicht Unterschieben von schädlichem HTML

Im Content-Management-System Typo3 könnten Angreifer eine Cross-Site-Scripting-Lücke ausnutzen, um schädlichen HTML-Code einzuschleusen. Updates stehen bereit.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Woman,Creating,Her,Own,Website,On,Computer, Wordpress, CMS, Bildschirm, Webseite,

(Bild: Shutterstock/Kaspars Grinvalds)

Lesezeit: 2 Min.
Security
Von

Im Content-Management-System Typo3 klafft eine als hochriskant eingestuft Sicherheitslücke. Angreifer könnten dadurch per Cross-Site-Scripting bösartigen HTML-Code einschleusen. Administratorinnen und Administratoren sollten die bereitstehenden Aktualisierungen anwenden.

Das Problem erklären die Typo3-Entwickler in einer Sicherheitsmeldung – eher für Entwickler als Zielgruppe – folgendermaßen: "Die TYPO3-Kernkomponente GeneralUtility::getIndpEnv() verwendet die ungefilterte Server-Umgebungsvariable PATH_INFO, wodurch Angreifer bösartige Inhalte unterschieben könnten. In Kombination mit der TypoScript-Einstellung config.absRefPrefix=auto können Angreifer bösartigen HTML-Code in Seiten einfügen, die noch nicht gerendert und zwischengespeichert wurden. In der Folge werden die injizierten Werte zwischengespeichert und an andere Website-Besucher ausgegeben" (CVE-2023-24814, CVSS 8.8, Risiko "hoch").

Typo3-Lücke: Weitere Details

Wie ein Angriff genau aussehen würde, erläutern die Entwickler nicht. Sie haben aber die Nutzung der Server-Umgebungsvariable PATH_INFO aus den Verarbeitungsroutinen in GeneralUtility::getIndpEnv() entfernt sowie die öffentliche Eigenschaft TypoScriptFrontendController::$absRefPrefix so kodiert, dass sie als URI-Bestandteil und als Prefix in einem HTML-Kontext genutzt wird. Das entschärfe die Cross-Site-Scripting-Lücke.

Bei Typo3-Instanzen, die Administratoren nicht kurzfristig aktualisieren können, sollte sie zumindest die TypoScript-Einstellung config.absRefPrefix auf einen statischen Pfad setzen, anstatt auto zu verwenden – etwa config.absRefPrefix=/, schlagen die Typo3-Entwickler als temporäre Gegenmaßnahme vor. Das behebe jedoch nicht alle Aspekte der Schwachstelle und könne nur eine Zwischenlösung sein.

Der Fehler betrifft die Typo3-Versionen 8.7.0-8.7.50, 9.0.0-9.5.39, 10.0.0-10.4.34, 11.0.0-11.5.22 und 12.0.0-12.1.3. Seit Kurzem bietet das Projekt die aktualisierten Fassungen 12.2.0, 11.5.23 sowie 10.4.36 auf der Typo3-Webseite zum Download an. Administratoren sollten sie aufgrund der Schwere der Lücke zügig herunterladen und anwenden.

Zuletzt musste die Typo3-Nutzerschaft Mitte Dezember vergangenen Jahres das System aktualisieren. Auch da waren hochriskante Sicherheitslücken darin zu stopfen.

(dmk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Update-Check

Beliebte Bestenlisten

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten