Typo3 ist ein beliebtes Content-Management-System für Webseiten, das in der Skriptsprache PHP geschriebe ist und zur Darstellung im Browser HTML und JavaScript verwendet. Durch eine Cross-Site-Skripting-Attacke in dem Content-Management-System können enternte Angreifer HTML-Code in das System einzuschleusen.
Verantwortlich für das Problem ist ein Fehler in der GeneralUtility::getIndpEnv() des Typo3-Programmcodes. Diese Funktion greift auf die Server-Umgebungsvariable PATH_INFO zu, ohne diese jedoch vorher auf kritische Zeichen-Sequenzen zu filtern. Das ermöglicht dem Angreifer das Einschleusen und Ausführen von HTML-Code über diese Umgebungsvariable. Die Attacke ist allerdings nur möglich, wenn die TypoScript-Einstellung config.absRefPrefix auf auto gesetzt ist.
Betroffen sind die Typo3-Versionen 8.7.0 bis 8.7.50, 9.0.0 bis 9.5.39, 10.0.0 bis 10.4.34, 11.0.0 bis 11.5.22 und 12.0.0 bis 12.1.3.
Der Beitrag TYPO3: Kritische Cross-Site-Skripting Schwachstelle erschien zuerst auf Linux-Magazin.
Quelle: https://www.linux-magazin.de/b…-skripting-schwachstelle/