Wichtige Sicherheitswarnung: XSS-Schwachstelle in TYPO3 und wie Sie sich schützen können

08.02.2023
Ein kürzlich entdecktes Sicherheitsrisiko betrifft bestimmte Versionen von TYPO3, bei welchem durch eine Schwachstelle im Frontend-Rendering cross-site scripting (XSS) Angriffe ermöglicht werden. Dieser Beitrag erläutert das Problem und bietet Lösungen für TYPO3-Webseitenbetreiber.

Liebe TYPO3-Community, es wurde eine bedeutende Sicherheitslücke identifiziert, die zahlreiche TYPO3-Installationen betrifft. Die Schwachstelle, identifiziert als 'Persisted Cross-Site Scripting in Frontend Rendering', stellt ein hohes Sicherheitsrisiko dar und erfordert unverzügliche Aufmerksamkeit.

Die Kernelemente des Problems liegen in der Verarbeitung unzureichend gefilterter Serverumgebungsvariablen, wie 'PATH_INFO', durch TYPO3. In bestimmten Konfigurationen kann dieses Verhalten es Angreifern ermöglichen, schädliche Inhalte einzuschleusen, die dann anderen Nutzern der Webseite ausgeliefert werden.

Betroffen sind die Versionen 8.7.0-8.7.50, 9.0.0-9.5.39, 10.0.0-10.4.34, 11.0.0-11.5.22 und 12.0.0-12.1.3. TYPO3-Installationen mittels Composer könnten insbesondere dann anfällig sein, wenn die Serverumgebungsvariable 'TYPO3_PATH_ROOT' definiert ist.

Die gute Nachricht ist, dass die TYPO3 Core Entwickler bereits Maßnahmen ergriffen haben, um das Problem zu beheben. Ein Update auf die neuesten Sicherheitsversionen – 8.7.51 ELTS, 9.5.40 ELTS, 10.4.36 LTS, 11.5.23 LTS und 12.2.0 – schließt die Lücke.

Als Sofortmaßnahme sollten Webserver, die PHP-CGI verwenden, sicherstellen, dass die PHP-Einstellung 'cgi.fix_pathinfo=1' aktiviert ist, um fehlerhafte Pfadinformationen zu korrigieren. Ebenfalls ratsam ist es, den TypoScript-Einstellungswert 'config.absRefPrefix' auf einen statischen Pfad zu setzen, statt 'auto' zu verwenden, als vorübergehende Abwehrmaßnahme.

Wir empfehlen ebenso, beständig die TYPO3 Security Guidelines zu befolgen und sich für die 'typo3-announce' Mailingliste anzumelden, um über die neuesten Sicherheitsmeldungen informiert zu sein.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

We will never pass this number to someone else.
Only for processing this request. We will never sent spam.
Logo

eine Marke der
invokable GmbH
Telefon: 02195 5882 50
E-Mail: info@invokable.gmbh

Kratzberger Str. 9
42855 Remscheid

Additional links

Imprint

Copyright © 2024