Cyberkriminelle könnten im Content-Management-System Typo3 eine Cross-Site-Scripting-Sicherheitslücke nutzen, um gefährlichen HTML-Code unbemerkt einzubringen. Updates stehen bereits zur Verfügung.
Das Content-Management-System Typo3 weist eine sehr riskante Sicherheitslücke auf. Cyberkriminelle können mit Hilfe der Schwachstelle schädlichen HTML-Code einfließen lassen. Administratoren sollten zu Verfügung stehende Updates installieren.
Das Problem erläutern die Entwickler in einer Meldung bezüglich der Sicherheitslücke. Die Typo3-Kernkomponente GeneralUtility::getIndEnv() setzt die ungefilterte Server-Umgebungsvariable PATH_INFO ein, dadurch können Cyberkriminelle gefährliche Inhalte einschleusen. In Verbindung mit der TypoScript-Einstellung config.absRefPrefix=auto können Cyberkriminelle gefährlichen HTML-Code in Seiten einbauen, welche noch nicht gerendert und zwischengespeichert wurden. Infolgedessen werden die implementierten Werte zwischengespeichert und an andere Besucher der Website weitergegeben. Die Sicherheitslücke ist unter der Bezeichnung CVE-2023-24814 zu finden, Das Risiko der der Schwachstelle wurde mit „hoch“ eingestuft und mit CVSS 8.8 bewertet.
Weitere Details zur Sicherheitslücke
Wie ein potenzieller Cyberangriff exakt ablaufen würde, wurde durch die Entwickler nicht weiter beschrieben. Dennoch wurde die Nutzung der Server-Umgebungsvariablen PATH_INFO aus den Verarbeitungsroutinen in GerneralUtility::getIndEnv() gelöscht sowie die öffentliche Eigenschaft TypoScriptFrontendController::$absRefPrefi so kodiert, dass sie als URI-Element und als Prefix in einem HTML-Kontext eingesetzt wird. Dieses Vorgehen milderte die Cross-Site-Scripting -Sicherheitslücke ab.
Bei Typo3-Instanzen, die durch Administratoren nicht aktualisiert werden können, sollten mindestens TypoScript-Einstellungen config.absRefPrefix auf einen statischen Pfad zu versetzen, statt auto anzuwenden. Entwickler empfehlen beispielsweise config.absRefPrefix=/ als vorübergehende Gegenmaßnahme einzusetzen. Diese Verfahrensweise beseitige jedoch nicht vollumfänglich alle Faktoren der Sicherheitslücke und kann demnach nur als Zwischenlösung betrachtet werden.
Das Problem betrifft die Typo3-Versionen 8.7.0-8.7.50, 9.0.0-9.5.39, 10.0.0-10.4.34, 11.0.0-11.5.22 und 12.0.0-12.1.3. Vor Kurzem wurde eine aktuelle Version 12.2.0, 11.5.23 sowie 10.4.36 auf der Website von Typo3 veröffentlicht und zum Download angeboten. Administratoren wird empfohlen das Update, aufgrund des Schweregrades der Sicherheitslücke, umgehend herunterzuladen und zu installieren.
Mitte Dezember letzten Jahres mussten Anwender von Typo3 zuletzt das System aktualisieren. Auch in diesem Fall mussten durch Updates hochriskante Schwachstellen geschlossen werden.