Kurzinfo CB-K17/2200

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: TYPO3 Extensions: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Datum: 20.12.2017
Software: TYPO3 Extension
Plattform: GNU/Linux, Microsoft Windows
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: hoch
Bezug: TYPO3-Erweiterung 'caretaker' 0.8.1 Download
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

TYPO3-Erweiterungen sind Zusatzprogramme für das Content-Management-Framework TYPO3. Die derzeit über 5.000 Erweiterungen stammen zum größten Teil von anderen Anbietern und sind kostenlos verfügbar.

Mehrere Schwachstellen in den TYPO3-Erweiterungen 'Caretaker', 'JobControl', 'DRC News Comment' und 'Smallads' ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung von Cross-Site-Scripting (XSS)-Angriffen. Zwei Schwachstellen in den Erweiterungen 'JobControl' und 'Download Center' ermöglichen dem Angreifer SQL-Injektions-Angriffe und damit das Ausspähen von Informationen und die Manipulation von Daten der Datenbank. Durch eine weitere Schwachstelle in der Erweiterung 'DRC News Comment' kann der Angreifer beliebigen Programmcode zur Ausführung bringen und eine Schwachstelle in der Erweiterung 'Frontend User Registration' ermöglicht dem Angreifer die einfache Übernahme der Kontrolle über Frontend-Benutzerkonten. Für die als kritisch eingestufte Schwachstelle in der Erweiterung JobControl (dmmjobcontrol) gibt es kein Sicherheitsupdate, da diese Erweiterung nicht mehr weiterentwickelt wird. TYPO3 hat die Erweiterung dementsprechend bereits aus der Erweiterungsdatenbank gelöscht und rät allen Nutzern dazu, die Erweiterung sofort zu deinstallieren. Für die übrigen Erweiterungen stehen Sicherheitsupdates zur Behebung der jeweiligen Schwachstellen zur Verfügung. Weitere Informationen zu den betroffenen Versionen und den jeweiligen Patches befinden sich in den Referenzen.

  1. TYPO3-Erweiterung 'caretaker' 0.8.1 Download

  2. TYPO3-Erweiterung 'ke_smallads' 1.3.3 Download

  3. TYPO3-Erweiterung 'news_comment' 1.0.8 Download

  4. TYPO3-Erweiterung 'pits_downloadcenter' 1.0.4 Download

  5. TYPO3-Erweiterung 'sf_register' 8.8.1 Download

  6. TYPO3-EXT-SA-2017-015: Cross Site-Scripting in extension 'Smallads' (ke_smallads)

  7. TYPO3-EXT-SA-2017-016: SQL Injection in extension 'Download Center' (pits_downloadcenter)

  8. TYPO3-EXT-SA-2017-017: Authentication Bypass in extension 'Frontend User Registration' (sf_register)

  9. TYPO3-EXT-SA-2017-018: Multiple vulnerabilities in extension 'DRC News Comment' (news_comment)

  10. TYPO3-EXT-SA-2017-019: Multiple vulnerabilities in extension 'JobControl' (dmmjobcontrol)

  11. TYPO3-EXT-SA-2017-020: Cross Site-Scripting in extension 'Caretaker' (caretaker)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.