So wurden insgesamt sechs Schwachstellen behoben, die unter anderem dafür sorgen könnten, dass Redakteure ohne die entsprechenden Berechtigungen Dateien erstellen, ändern oder löschen können. Ebenso ist TYPO3 CMS für Frontend-Login-Session-Fixation anfällig. Auch Schwachstellen, die Cross-Site-Scripting im Core sowie der Third-Party-Library Flowplayer ermöglichen, wurden gefunden.
Dazu kommen noch einige weitere Schwachstellen, die das Umgehen des Backend-Login-Brute-Force-Schutzes ermöglichen. Ebenso wurde entdeckt, dass Redakteure alle Dateien und Ordner im Root-Directory einer TYPO3-Installation auflisten könnten.
Die Schwachstellen im Überblick
Weitere Informationen zu den einzelnen Schwachstellen finden sich in den entsprechenden Security-Bulletins:
- Access Bypass when Editing File Metadata
- Frontend Login Session Fixation
- Cross-Site Scripting exploitable by Editors
- Cross-Site Scripting in 3rd Party Library Flowplayer
- Information Disclosure possibility exploitable by Editors
- Brute Force Protection Bypass in Backend Login
Eine Übersicht über alle vorgenommenen Änderungen in den beiden neuen Versionen, TYPO3 CMS 6.2.14 und TYPO3 CMS 7.3.1, finden sich in den entsprechenden Release-Notes. Sie stehen auf der TYPO3-Website zum Download bereit.
PsyConversion: Website-Optimierung mit neuropsychologischen Prinzipien
mit Rouven Klein (elaboratum – NewCommerceConsulting)
SEO 2019: Wie man in einem kompetitiven Markt wächst
mit Matthäus Michalik (Claneo GmbH)
Webseiten mit Bootstrap 4 entwickeln
mit Jens Grochtdreis (webkrauts.de)
Praktische Web-Animation
mit Lisi Linhart (lisilinhart.info)
Hinterlasse einen Kommentar
Hinterlasse den ersten Kommentar!