Typo3: Neue Fassungen schließen hochriskante Sicherheitslücke
Angreifer könnten in Typo3 etwa eigenen PHP-Code einschleusen. Mit neuen Versionen schließen die Entwickler diese und weitere Sicherheitslücken.
![Woman,Creating,Her,Own,Website,On,Computer, Wordpress, CMS, Bildschirm, Webseite,](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/3/6/6/4/8/1/4/shutterstock_1851856006-8e2ebd8c1940b83e.jpeg)
(Bild: Shutterstock/Kaspars Grinvalds)
Drei neue Versionen haben die Entwickler des Typo3-Content-Management-Systems herausgegeben. Darin schließen sie mehrere Sicherheitslücken, von denen eine als hochriskant eingestuft wurde. Administratoren sollten die Aktualisierung zügig vornehmen.
Hochriskante Lücke
Die schwerwiegendste Schwachstelle findet sich im Formular-Designer-Modul. Von Nutzerinnen und Nutzern übergebene Daten wurden nicht von interner Konfiguration getrennt, wodurch bösartige Akteure Befehle einschleusen konnten, die durch TypoScript als PHP-Code ausgeführt wurden. Für ein Formular müssten dazu individuelle TypoScript-Anweisungen, in der Sicherheitsmeldung nennen die Typo3-Entwickler formDefintionsOverrides, und ein gültiger Zugang zum Backend-System vorhanden sein (CVE-2022-23503, CVSS 7.5, Risiko "hoch").
Fünf weitere Schwachstellen stufen die Entwickler als mittleres Risiko ein; sie sind in der Versionsmeldung von Typo3 verlinkt. Die neuen Fassungen enthalten keine weiteren Funktionsupdates, das Changelog nennt lediglich die abgedichteten Sicherheitslücken.
Betroffen sind diverse ältere Typo3-Versionen. Die aktuellen Fassungen 12.1.2, 11.5.20 LTS sowie 10.4.33 LTS korrigieren die sicherheitsrelevanten Fehler. Die ursprüngliche Bugfix-Version 12.1.1 hat das Projekt zügig durch 12.1.2 ersetzt, da sie bekannte Regressionen enthielt und somit ebenfalls fehlerhaft war.
Das Typo3-Update können Administratorinnen und Administratoren als Quellcode auf der Webseite des Projekts herunterladen. Weitere Möglichkeiten beschreibt Typo3 auf der Upgrade-Guide-Webseite. Admins sollten zeitnah ein Wartungsfenster zur Aktualisierung der Software einplanen. Die Entwickler weisen zudem darauf hin, dass kein Datenbank-Update für die Sicherheitsaktualisierungen nötig ist.
Themenseite zu Typo3 auf heise online
(dmk)