Typo3: Neue Version schließt zwei Sicherheitslücken im CMS
Lücken im Content-Management-System hätten Angreifern schlimmstenfalls Admin-Rechte gewähren können. Die neue Typo3-Version 11.5 bannt die Gefahr.
Die Entwickler des freien CMS Typo3 haben mit Version 11.5.0 zwei Sicherheitslücken geschlossen, von denen eine ein hohes und die andere ein niedriges bis mittleres Risiko barg. Typo3-Admins sollten ein Upgrade ihrer Installation(en) vornehmen, sofern eine verwundbare Version im Einsatz ist.
Admin-Rechte dank Sicherheitslücke
Laut dem Sicherheitshinweis TYPO3-CORE-SA-2021-014 steckt CVE-2021-41113 (CVSS-Score 8.8 / High) in den Typo3-Versionen 11.2.0 bis einschließlich 11.4.0. Ein Angreifer könnte die Lücke demnach ohne jegliche Authentifizierung ausnutzen, um einen neuen Admin-Account anzulegen und das CMS somit vollständig zu kompromittieren. Wie aus einer ausführlicheren Erläuterung zu CVE-2021-41113 in der National Vulnerability Database hervorgeht, ist eine auf der Lücke basierende sogenannte Cross-Site-Request-Forgery (CSRF) allerdings nur im Zuge der Interaktion eines legitimen Nutzers mit dem CMS (aktive Session) möglich.
Die zweite Sicherheitslücke CVE-2021-41114 (mit einem CVSS-Score 4.8/Medium laut NVD, aber einer "Low"-Einstufung laut Typo3-Advisory) besteht in Typo3 11.0.0-11.4.0. Laut Beschreibung entspricht sie einer älteren Lücke, deren Behebung im Zuge von Code-Umbauten wieder ausgehebelt wurde. Sie basiert auf einer unzureichenden Validierung des HTTP Host Headers die dazu führt, dass Manipulationen unter Umständen unerkannt bleiben und Spoofing-Angriffe möglich sind. Weitere Details sind auch hier einem Advisory des Typo3-Teams (TYPO3-CORE-SA-2021-015) sowie dem NVD-Eintrag zu CVE-2021-41114 zu entnehmen.
Weitere Informationen zur neuen Typo3-Version
Typo3 11.5 ("Warp Speed") umfasst neben den Lücken-Fixes auch eine 2FA-Implementierung im Backend als weitere sicherheitsrelevante Aktualiseirung. Außerdem soll die neue Version flotter laufen und mit Neuerungen bei der Dateiverwaltung punkten. Einen Überblick über die wichtigsten Features bieten wir in einer separaten heise online-Meldung:
(ovw)