zurück zum Artikel

Typo3: Neue Fassungen schließen hochriskante Sicherheitslücke

Alert! Dirk Knop
Woman,Creating,Her,Own,Website,On,Computer, Wordpress, CMS, Bildschirm, Webseite,

(Bild: Shutterstock/Kaspars Grinvalds)

Angreifer könnten in Typo3 etwa eigenen PHP-Code einschleusen. Mit neuen Versionen schließen die Entwickler diese und weitere Sicherheitslücken.

Drei neue Versionen haben die Entwickler des Typo3-Content-Management-Systems herausgegeben. Darin schließen sie mehrere Sicherheitslücken, von denen eine als hochriskant eingestuft wurde. Administratoren sollten die Aktualisierung zügig vornehmen.

Hochriskante Lücke

Die schwerwiegendste Schwachstelle findet sich im Formular-Designer-Modul. Von Nutzerinnen und Nutzern übergebene Daten wurden nicht von interner Konfiguration getrennt, wodurch bösartige Akteure Befehle einschleusen konnten, die durch TypoScript als PHP-Code ausgeführt wurden. Für ein Formular müssten dazu individuelle TypoScript-Anweisungen, in der Sicherheitsmeldung nennen die Typo3-Entwickler [1] formDefintionsOverrides, und ein gültiger Zugang zum Backend-System vorhanden sein (CVE-2022-23503, CVSS 7.5, Risiko "hoch").

Fünf weitere Schwachstellen stufen die Entwickler als mittleres Risiko ein; sie sind in der Versionsmeldung von Typo3 [2] verlinkt. Die neuen Fassungen enthalten keine weiteren Funktionsupdates, das Changelog nennt lediglich die abgedichteten Sicherheitslücken.

Betroffen sind diverse ältere Typo3-Versionen. Die aktuellen Fassungen 12.1.2, 11.5.20 LTS sowie 10.4.33 LTS korrigieren die sicherheitsrelevanten Fehler. Die ursprüngliche Bugfix-Version 12.1.1 hat das Projekt zügig durch 12.1.2 ersetzt, da sie bekannte Regressionen enthielt und somit ebenfalls fehlerhaft war.

Das Typo3-Update können Administratorinnen und Administratoren als Quellcode auf der Webseite [3] des Projekts herunterladen. Weitere Möglichkeiten beschreibt Typo3 auf der Upgrade-Guide-Webseite [4]. Admins sollten zeitnah ein Wartungsfenster zur Aktualisierung der Software einplanen. Die Entwickler weisen zudem darauf hin, dass kein Datenbank-Update für die Sicherheitsaktualisierungen nötig ist.

Lesen Sie dazu auch:

Themenseite zu Typo3 [5] auf heise online

(dmk [6])

URL dieses Artikels:
https://www.heise.de/-7395790

Links in diesem Artikel:
[1] https://typo3.org/security/advisory/typo3-core-sa-2022-015
[2] https://typo3.org/article/typo3-1211-11520-and-10433-security-releases-published
[3] https://get.typo3.org/
[4] https://docs.typo3.org/m/typo3/guide-installation/main/en-us/
[5] https://www.heise.de/thema/Typo3
[6] mailto:dmk@heise.de

Copyright © 2022 Heise Medien