TYPO3 Sicherheitsupdate 13.4.3, 12.4.25
Das TYPO3 Security Team hat heute neue TYPO3 Versionen veröffentlicht. Diese schließen acht Sicherheitslücken.
TYPO3-CORE-SA-2025-001: Information Disclosure via Exception Handling/Logger
Betroffene Komponente: TYPO3 CMS
Schweregrad: niedrig
Betroffene TYPO3 Versionen: 13.4.2
Details: Wenn der eingestellte Hashing Mechanismus nicht dem verwendeten Hashing Mechanismus für das gespeichert InstallTool Passwort entspricht, dann wurde dass Passwort als Klartext protokolliert.
TYPO3-CORE-SA-2025-002: Potential Open Redirect via Parsing Differences
Betroffene Komponente: TYPO3 CMS
Schweregrad: mittel
Betroffene TYPO3 Versionen: 9.0.0-9.5.48, 10.0.0-10.4.47, 11.0.0-11.5.41, 12.0.0-12.4.24, 13.0.0-13.4.2
Details: Bisher wurden externe URLs, die durch TYPO3\CMS\Core\Http\Uri verarbeitet wurden nur bereinigt aber nicht auf Gültigkeit validiert. Fehlendes Schema und fehlender Host werden nun dynamisch hinzugefügt und die URL wird vor Validierung noch in ASCII umgewandelt, da PHP:filter_var Domains mit UTF-8 Zeichen nicht als valide anerkennt.
TYPO3-CORE-SA-2025-003: Cross-Site Request Forgery in Log Module
Betroffene Komponente: TYPO3 CMS
Schweregrad: mittel
Betroffene TYPO3 Versionen: 11.0.0-11.5.41, 12.0.0-12.4.24, 13.0.0-13.4.2
Details: Diese Lücke benötigt eine aktive TYPO3 Backend Session. Durch einen modifizierten HTTP Request ist es möglich mittels TYPO3 Deep-Link in das Log-Modul Log-Einträge zu entfernen.
TYPO3-CORE-SA-2025-004: Cross-Site Request Forgery in Backend User Module
Betroffene Komponente: TYPO3 CMS
Schweregrad: mittel
Betroffene TYPO3 Versionen: 11.0.0-11.5.41, 12.0.0-12.4.24, 13.0.0-13.4.2
Details: Diese Lücke benötigt eine aktive TYPO3 Backend Session. Durch einen modifizierten HTTP Request ist es möglich mittels TYPO3 Deep-Link in das Backend Benutzer Modul Passwörter zurückzusetzen oder auch die aktive Benutzer-Session zu entfernen.
TYPO3-CORE-SA-2025-005: Cross-Site Request Forgery in Dashboard Module
Betroffene Komponente: TYPO3 CMS
Schweregrad: mittel
Betroffene TYPO3 Versionen: 11.0.0-11.5.41, 12.0.0-12.4.24, 13.0.0-13.4.2
Details: Diese Lücke benötigt eine aktive TYPO3 Backend Session. Durch einen modifizierten HTTP Request ist es möglich mittels TYPO3 Deep-Link in das DashBoard Modul die DashBoard Widget Konfiguration zu modifizieren.
TYPO3-CORE-SA-2025-006: Cross-Site Request Forgery in Extension Manager Module
Betroffene Komponente: TYPO3 CMS
Schweregrad: hoch
Betroffene TYPO3 Versionen: 11.0.0-11.5.41, 12.0.0-12.4.24, 13.0.0-13.4.2
Details: Diese Lücke benötigt eine aktive TYPO3 Backend Session. Durch einen modifizierten HTTP Request ist es möglich mittels TYPO3 Deep-Link in das Extension Manager Modul weitere TYPO3 Extensions zu installieren, was zum Einschleusen von Schadcode misbraucht werden könnte.
TYPO3-CORE-SA-2025-007: Cross-Site Request Forgery in Form Framework Module
Betroffene Komponente: TYPO3 CMS
Schweregrad: mittel
Betroffene TYPO3 Versionen: 11.0.0-11.5.41, 12.0.0-12.4.24, 13.0.0-13.4.2
Details: Diese Lücke benötigt eine aktive TYPO3 Backend Session. Durch einen modifizierten HTTP Request ist es möglich mittels TYPO3 Deep-Link in das Form Framework Modul Formular Definitionen zu monipulieren und auch zu löschen.
TYPO3-CORE-SA-2025-008: Cross-Site Request Forgery in Indexed Search Module
Betroffene Komponente: TYPO3 CMS
Schweregrad: mittel
Betroffene TYPO3 Versionen: 11.0.0-11.5.41, 12.0.0-12.4.24, 13.0.0-13.4.2
Details: Diese Lücke benötigt eine aktive TYPO3 Backend Session. Durch einen modifizierten HTTP Request ist es möglich mittels TYPO3 Deep-Link in das Indexed Search Modul Einträge dieser Komponente zu entfernen.