Typo3: Neue Fassungen schließen hochriskante Sicherheitslücke

Drei neue Versionen haben die Entwickler des Typo3-Content-Management-Systems herausgegeben. Darin schließen sie mehrere Sicherheitslücken, von denen eine als hochriskant eingestuft wurde. Administratoren sollten die Aktualisierung zügig vornehmen.

Hochriskante Lücke

Die schwerwiegendste Schwachstelle findet sich im Formular-Designer-Modul. Von Nutzerinnen und Nutzern übergebene Daten wurden nicht von interner Konfiguration getrennt, wodurch bösartige Akteure Befehle einschleusen konnten, die durch TypoScript als PHP-Code ausgeführt wurden. Für ein Formular müssten dazu individuelle TypoScript-Anweisungen, in der Sicherheitsmeldung nennen die Typo3-Entwickler formDefintionsOverrides, und ein gültiger Zugang zum Backend-System vorhanden sein (CVE-2022-23503, CVSS 7.5, Risiko "hoch").

Fünf weitere Schwachstellen stufen die Entwickler als mittleres Risiko ein; sie sind in der Versionsmeldung von Typo3 verlinkt. Die neuen Fassungen enthalten keine weiteren Funktionsupdates, das Changelog nennt lediglich die abgedichteten Sicherheitslücken.

Betroffen sind diverse ältere Typo3-Versionen. Die aktuellen Fassungen 12.1.2, 11.5.20 LTS sowie 10.4.33 LTS korrigieren die sicherheitsrelevanten Fehler. Die ursprüngliche Bugfix-Version 12.1.1 hat das Projekt zügig durch 12.1.2 ersetzt, da sie bekannte Regressionen enthielt und somit ebenfalls fehlerhaft war.

Das Typo3-Update können Administratorinnen und Administratoren als Quellcode auf der Webseite des Projekts herunterladen. Weitere Möglichkeiten beschreibt Typo3 auf der Upgrade-Guide-Webseite. Admins sollten zeitnah ein Wartungsfenster zur Aktualisierung der Software einplanen. Die Entwickler weisen zudem darauf hin, dass kein Datenbank-Update für die Sicherheitsaktualisierungen nötig ist.

Lesen Sie dazu auch:

Themenseite zu Typo3 auf heise online

(dmk)