Typo3: Nieuwe versie dicht twee beveiligingsgaten in het CMS


De ontwikkelaars van het gratis CMS Typo3 hebben met Versie 11.5.0 twee kwetsbaarheden gesloten, een met een hoog risico en een met een laag tot gemiddeld risico. Typo3-beheerders moeten hun installatie(s) upgraden als er een kwetsbare versie in gebruik is.

Volgens de Beveiligingsadvies TYPO3-CORE-SA-2021-014 zet CVE-2021-41113 (CVSS Score 8,8 / Hoog) in de Typo3 versies 11.2.0 t/m 11.4.0. Een aanvaller zou het beveiligingslek daarom zonder enige authenticatie kunnen misbruiken om een ​​nieuw beheerdersaccount aan te maken en zo het CMS volledig in gevaar te brengen. Als uit een meer gedetailleerde Uitleg voor CVE-2021-41113 in de National Vulnerability Database laat zien, is een zogenaamde Cross-Site-Request-Forgery (CSRF) op basis van de gap alleen mogelijk in de loop van de interactie van een legitieme gebruiker met het CMS (actieve sessie).

De tweede kwetsbaarheid CVE-2021-41114 (met een CVSS-score van 4,8 / gemiddeld volgens de NVD, maar een “lage” beoordeling volgens het Typo3-advies) is Typo3 11.0.0-11.4.0. Volgens de beschrijving komt het overeen met een oudere maas in de wet, die werd geëlimineerd in de loop van codewijzigingen. Het is gebaseerd op onvoldoende validatie van de HTTP-hostheader, wat betekent dat manipulaties onopgemerkt blijven en spoofing-aanvallen mogelijk zijn. Meer details zijn ook hier beschikbaar Advies van het Typo3-team (TYPO3-CORE-SA-2021-015) net als de NVD-vermelding voor CVE-2021-41114 verwijzen naar.

Typo3 11.5 (“Warp Speed”) bevat, naast de bugfixes, een 2FA-implementatie in de backend als een verdere beveiligingsrelevante update. Daarnaast moet de nieuwe versie sneller draaien en scoren met innovaties in bestandsbeheer. We bieden een overzicht van de belangrijkste features in een apart heise online bericht:


(ovw)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: