Sicherheitsupdate für TYPO3-Erweiterung

23.03.2023
Eine kritische Sicherheitslücke im Bereich Cross-Site Scripting (XSS) wurde in der beliebten TYPO3-Erweiterung 'Fluid Components' identifiziert und führt zu einem wichtigen Sicherheitsupdate. Dieser Blogpost erklärt, wie TYPO3-Betreiber und Entwickler reagieren sollten.

Kürzlich wurde ein Sicherheitsrisiko in der TYPO3-Erweiterung 'Fluid Components' entdeckt, das die Webpräsenzen vieler Betreiber betrifft. Die Sicherheitsproblematik, die sich auf Cross-Site Scripting (XSS) bezieht, stellte ein potentielles Einfallstor für schädliche Angriffe dar. Besonders betroffen sind Versionen bis einschließlich 3.4.3, bei denen Angreifer unter bestimmten Umständen schädlichen JavaScript-Code in die Webseite einbinden könnten. Dies kann zur Folge haben, dass sensible Daten von Website-Besuchern kompromittiert oder manipuliert werden. Das Ausnutzen dieser Schwachstelle wird mit einem mittleren Risikograd bewertet.

Die gute Nachricht ist, dass bereits eine aktualisierte Version der Erweiterung (3.5.0) zur Verfügung steht, die diese Sicherheitslücke schließt. TYPO3-Betreiber sollten daher schnellstmöglich handeln und die Erweiterung auf die neueste Version aktualisieren. Um die Sicherheit weiter zu erhöhen, wird die Verwendung des neuen 'SlotViewHelper' empfohlen, der sicherstellt, dass HTML-Inhalte, die als Argument an eine Komponente übergeben werden, sicher gerendert werden. Darüber hinaus ist es ratsam, das neue Symfony-Konsolenkommando 'fluidcomponents:checkContentEscaping' zu nutzen, um Ihre Template-Dateien auf mögliche Ausreißer im Zusammenhang mit der neuen Kinderescaping-Funktion zu überprüfen.

Abschließend sollte der allgemeine Sicherheitshinweis beachtet werden: Folgen Sie den Empfehlungen des 'TYPO3 Security Guide' und abonnieren Sie die Mailingliste 'typo3-announce', um stets über die neuesten Sicherheitsbenachrichtigungen informiert zu sein. Ein solches proaktives Sicherheitsmanagement trägt dazu bei, Ihr Webprojekt und die Daten Ihrer Nutzer zu schützen.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

We will never pass this number to someone else.
Only for processing this request. We will never sent spam.
Logo

eine Marke der
invokable GmbH
Telefon: 02195 5882 50
E-Mail: info@invokable.gmbh

Kratzberger Str. 9
42855 Remscheid

Additional links

Imprint

Copyright © 2024