In dem Content-Management-System TYPO3 könnten Hacker eine Cross-Site-Scripting-Sicherheitslücke ausnutzen, um schädliche HTML-Codes einzuschleusen. Das Content-Management-System TYPO3 weist eine als hochgefährlich geltende Sicherheitslücke auf. Auf diese Weise hätten Angreifer die Möglichkeit, schädlichen HTML-Code durch sogenanntes Cross-Site-Scripting einzuschleusen. Wir empfehlen, eine schnellstmögliche Installation der verfügbaren Updates. Sollten Sie Schwierigkeiten dabei haben, stehen wir Ihnen als professionelle TYPO3-Agentur gerne helfend zur Seite. Gerne können Sie auch bei uns eine professionelle TYPO3 Website erstellen lassen.
In einer Sicherheitsmitteilung – die sich eher an Entwickler statt User richtet – erklären die TYPO3-Entwickler Kollegen das Problem folgendermaßen: „Die zentrale TYPO3 Komponente GeneralUtility::getIndpEnv() verwendet die ungefilterte Server-Umgebungsvariable PATH_INFO. Diese Variable kann es Angreifern ermöglichen, schädliche Inhalte einzuschleusen. Zusammen mit dem TypoScript-Parameter config.absRefPrefix=auto können Angreifer gefährlichen HTML-Code in Seiten einsetzen, welche noch nicht gerendert und im Cache gespeichert wurden. Danach werden die eingefügten Werte im Cache gespeichert und an andere Seitenbesucher weitergegeben“ (CVE-2023-24814, CVSS 8.8, Gefahr „hoch“).
Sicherheitslücke in TYPO3: Nähere Angaben
Verständlicherweise möchten wir nicht genau eingehen, wie eine solche Attacke genau ablaufen würde. In Kürze ist folgendes festzuhalten: Die Verwendung der Serverumgebungsvariablen PATH_INFO wurde jedoch aus den Prozessroutinen in GeneralUtility::getIndpEnv() entfernt und die öffentliche Eigenschaft TypoScriptFrontendController::$absRefPrefix so codiert, dass sie sowohl als URI-Komponente als auch als Präfix in einen HTML-Kontext verwendet werden kann. Dies führt zu einer Entschärfung der Cross-Site-Scripting-Lücke.
Für TYPO3-Instanzen, bei denen die Betreiber nicht sofort upgraden können, empfehlen wir zumindest den TypoScript-Parameter config.absRefPrefix auf einen statischen Pfad zu setzen, an Stelle von auto – z. B. config.absRefPrefix=/, dies ist eine vorläufige Gegenmaßnahme. Wir weisen ausdrücklich daraufhin, dass nicht alle Bereiche der Anfälligkeit gelöst werden und es sich sich lediglich um eine Zwischenlösung handelt.
Dieser Fehler betrifft die TYPO3-Versionen 8.7.0-8.7.50, 9.0.0-9.5.39, 10.0.0-10.4.34, 11.0.0-11.5.22 und 12.0.0-12.1.3. Seit Neustem bietet die TYPO3 Association die überarbeiteten Versionen 12.2.0, 11.5.23 sowie 10.4.36 zum Download auf der TYPO3-Website an. Angesichts des Schweregrades der Sicherheitslücke empfehlen wir, eine umgehende Installation von entsprechenden Updates.
Viele TYPO3 Nutzer mussten ihr System zuletzt Mitte Dezember letzten Jahres aktualisieren (wir berichteten). Auch in diesem Zusammenhang mussten Sicherheitslücken mit hohem Gefährdungspotenzial geschlossen werden.
Bei Fragen rund ums Thema TYPO3 und Content Management Systemen stehen wir Ihnen gerne zur Verfügung.
In diesem Sinne, herzlichst Ihr,
Mirza M. Oezoglu