Im beliebten Content Management System
Typo3 wurde eine Sicherheitslücke entdeckt, wie "Heise"
berichtet. Die Schwachstelle soll es Angreifern ermöglichen, via Cross-Site-Scripting schadhaften Code einzuschleusen. Wie die Macher in einem Security Advisory
erklären, nutzt die Typo3-Kernkomponente GeneralUtility::getIndpEnv() die ungefilterte CGI-Variable path_info, wodurch ein Angreifer Schadcode einschleusen kann. Der eingebrachte Schadcode wird sodann zwischengespeichert und an Site-Besucher weitergegeben. Vom Fehler betroffen sind die Typo3-Versionen 8.7.0 bis 8.7.50, 9.0.0 bis 9.5.39, 10.0.0 bis 10.4.34, 11.0.0 bis 11.5.22 sowie 12.0.0 bis 12.1.3, die auf Microsofts IIS oder dem Apache-Webserver laufen. Ob auch ngingx betroffen ist, ist unklar.
Um die Schwachstelle auszumerzen, wird die Einspielung der aktualisierten Versionen 8.7.51 ELTS, 9.5.40 ELTS, 10.4.36 LTS, 11.5.23 LTS oder 12.2.0 empfohlen, bei denen die Nutzung der path_info-Variable korrigiert wurde.
(rd)