TYPO3 Sicherheitswarnung: XSS-Schwachstelle im CKEditor4 WordCount Plugin identifiziert

26.07.2023
Eine aktuelle Sicherheitswarnung betrifft das beliebte Content Management System TYPO3. Die Entdeckung einer Cross-Site Scripting (XSS) Anfälligkeit im WordCount Plugin des CKEditor4 zieht Updates nach sich und erfordert Aufmerksamkeit von Webentwicklern und TYPO3-Nutzern.

TYPO3-Nutzer aufgepasst: Eine mittelschwere Sicherheitslücke im CKEditor4 WordCount Plugin könnte die Sicherheit eurer Website gefährden. Das Plugin wird im Rich Text Editor CKEditor4 verwendet und zeigt bei aktivierter Funktion die Anzahl der Wörter und Zeichen in den bearbeiteten Texten an. Die Schwachstelle wurde konkret beim Wechsel in den Quellcode-Modus des Editors identifiziert, wodurch Cross-Site Scripting (XSS) Angriffe ermöglicht werden könnten. Von diesem Risiko betroffen sind verschiedene TYPO3-Versionen: von 9.5.0 bis 9.5.41, 10.0.0 bis 10.4.38 sowie von 11.0.0 bis 11.5.29. Besonders hervorzuheben ist dabei, dass das Plugin zwar über die Full.yaml-Konfiguration aktiviert werden kann, es jedoch nicht in der Standardkonfiguration aktiv ist. In der Regel setzt die Ausnutzung der Schwachstelle ein gültiges Backend-Benutzerkonto voraus, was jedoch bei Verwendung von benutzerdefinierten Plugins an der Website-Frontend, die reichhaltige Textinhalte von Nutzern annehmen und widerspiegeln, entfallen könnte. Die Lösung des Problems erfolgt über ein Update auf die TYPO3-Versionen 9.5.42 ELTS, 10.4.39 ELTS oder 11.5.30, die die Schwachstelle beheben. Diese Entdeckung betont die Notwendigkeit des proaktiven Sicherheitsmanagements innerhalb des TYPO3-Umfelds. Als Websitebetreiber oder Entwickler ist es wesentlich, laufend über die aktuellsten Sicherheitswarnungen und -empfehlungen informiert zu sein. Abonnements von TYPO3-spezifischen Sicherheitsankündigungen und regelmäßige Überprüfungen von Sicherheitsempfehlungen, wie sie im TYPO3 Security Guide auffindbar sind, können dazu beitragen, die eigene Infrastruktur stets geschützt zu halten. Es ist unabdingbar, sofortige Maßnahmen zu ergreifen, um die betroffenen Systeme zu aktualisieren und so die Sicherheit und Zuverlässigkeit von Webpräsenzen zu gewährleisten.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

We will never pass this number to someone else.
Only for processing this request. We will never sent spam.
Logo

eine Marke der
invokable GmbH
Telefon: 02195 5882 50
E-Mail: info@invokable.gmbh

Kratzberger Str. 9
42855 Remscheid

Additional links

Imprint

Copyright © 2024