Kurzinfo CB-K17/1900

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: TYPO3 Extensions: Mehrere Schwachstellen ermöglichen u.a. die Injektion von SQL-Programmcode
Datum: 08.11.2017
Software: TYPO3 Extension
Plattform: GNU/Linux, Microsoft Windows
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2017-15363
Bezug: TYPO3-Erweiterung 'ameos_filemanager' 1.0.2 Download
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

TYPO3-Erweiterungen sind Zusatzprogramme für das Content-Management-Framework TYPO3. Die derzeit über 5.000 Erweiterungen stammen zum größten Teil von anderen Anbietern und sind kostenlos verfügbar.

Mehrere Schwachstellen in den Erweiterungen 'T3Blog Extbase' (t3extblog), 'Recommend Page' (pb_recommend_page), 'Formhandler' (formhandler), 'Multishop' (multishop) und 'CAB FAL search' (falsearch) ermöglichen es einem zumeist entfernten, nicht authentisierten Angreifer, Cross-Site-Scripting-Angriffe (XSS) auszuführen. Mehrere weitere Schwachstellen in der Erweiterung 'File Manager' (ameos_filemanager) ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das Ausspähen von Informationen und die Manipulation von Daten in der SQL-Datenbank sowie das Ausspähen von Dateiinformationen im 'fileadmin' Ordner. Eine weitere Schwachstelle in der Erweiterung 'restler' (restler) ermöglicht den Lesezugriff auf beliebige Dateien, auf die der Webserver zugriff hat, solange die Datei-Zugriffsrechte der entsprechenden Erweiterung falsch gesetzt sind. Dies ermöglicht dem Angreifer indirekt die Übernahme der SQL-Datenbank. Zur Behebung der Schwachstellen stehen die Erweiterungen in den Versionen 'T3Blog Extbase' 2.2.2, 'Formhandler' 2.4.1, 'Multishop' 5.0.1, 'CAB FAL search' 0.2.1, 'File manager' 1.0.2 und 'restler' 1.7.1 zur Verfügung. Für die Erweiterung 'Recommend Page' gibt es keinen Patch, da die Erweiterung nicht weiterentwickelt wird und veraltet ist. Es wird daher empfohlen, die Erweiterung zu deinstallieren und den entsprechenden Erweiterungs-Ordner aus der TYPO3-Installation zu löschen.

  1. Schwachstelle CVE-2017-11503 (NVD)

  2. TYPO3-EXT-SA-2017-008: Multiple vulnerabilities in extension 'File manager' (ameos_filemanager)

  3. TYPO3-EXT-SA-2017-009: Cross Site-Scripting in extension 'T3Blog Extbase' (t3extblog)

  4. TYPO3-EXT-SA-2017-010: Cross Site-Scripting in extension 'Recommend page' (pb_recommend_page)

  5. TYPO3-EXT-SA-2017-011: Cross Site-Scripting in extension 'Formhandler' (formhandler)

  6. TYPO3-EXT-SA-2017-012: Arbitrary File Disclosure in extension 'restler' (restler)

  7. TYPO3-EXT-SA-2017-013: Cross Site-Scripting in extension 'CAB FAL search' (falsearch)

  8. TYPO3-EXT-SA-2017-014: Cross Site-Scripting in extension 'Multishop' (multishop)

  9. TYPO3-Erweiterung 'CAB FAL search' 0.2.1 Download

  10. TYPO3-Erweiterung 'Formhandler' 2.4.1 Download

  11. TYPO3-Erweiterung 'ameos_filemanager' 1.0.2 Download

  12. TYPO3-Erweiterung 'multishop' 5.0.1 Download

  13. TYPO3-Erweiterung 'restler' 1.7.1 Download

  14. TYPO3-Erweiterung 't3extblog' 2.2.2 Download

  15. Schwachstelle CVE-2017-15363 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.