Sicherheitswarnung: Schwere Sicherheitslücken in der TYPO3-Erweiterung 'Canto Extension'

14.06.2023
Eine bedeutende Sicherheitswarnung wurde für die TYPO3-Erweiterung 'Canto Extension' ausgesprochen, die erhebliche Schwachstellen in den Versionen 1.3.7 und darunter aufweist. Wir erläutern das Risiko und bieten Lösungsansätze.

In der TYPO3-Community hat sich eine wichtige Sicherheitsnachricht verbreitet, die alle Nutzer der Canto Extension betrifft. Nach intensiven Untersuchungen wurde festgestellt, dass diese beliebte Erweiterung, die nicht standardmäßig in TYPO3 enthalten ist, anfällig für Serverseitige Anfragefälschungen (Server Side Request Forgery, SSRF) sowie für das Ausführen von Remotecode (Remote Code Execution, RCE) ist. Dies könnte Angreifern den Zugang zu sensiblen Daten eröffnen oder es ihnen ermöglichen, Schadcode auf dem betroffenen Server auszuführen.

Was bedeutet SSLF and RCE? Ein Serverseitige Anfragefälschung ermöglicht es einem Angreifer, den Server dazu zu bringen, Anfragen an beliebige andere Systeme zu senden. Diese Schwachstelle kann dazu führen, dass interne Systeme, die über das Internet nicht zugänglich sind, kompromittiert werden. Bei der Remotecodeausführung kann ein Angreifer eigenen Code auf dem Server ausführen, was weitreichende Konsequenzen haben kann.

Maßnahmen zur Minderung des Risikos Um das Risiko zu minimieren und die Sicherheit Ihrer TYPO3-Instanz zu gewährleisten, wird Nutzern dringend empfohlen, die Canto Extension umgehend zu deinstallieren und den Extension-Ordner vollständig zu entfernen. Außerdem ist es ratsam, im TYPO3 Extension Repository nach alternativen Erweiterungen Ausschau zu halten.

Allgemeine Sicherheitsratschläge Nutzer sollten stets die im TYPO3 Security Guide gegebenen Empfehlungen berücksichtigen und sich für die Mailingliste 'typo3-announce' eintragen, um über zukünftige Sicherheitsupdates informiert zu werden.

Bleiben Sie sicher und proaktiv, wenn es um die Sicherheit Ihrer Website geht. Die Aktualisierung auf sichere Versionen und das schnelle Handeln bei bekanntwerdenden Schwachstellen sind von entscheidender Bedeutung.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

We will never pass this number to someone else.
Only for processing this request. We will never sent spam.
Logo

eine Marke der
invokable GmbH
Telefon: 02195 5882 50
E-Mail: info@invokable.gmbh

Kratzberger Str. 9
42855 Remscheid

Additional links

Imprint

Copyright © 2024