Aktuelles Sicherheitsupdate bei TYPO3: Schutz gegen Cross-Site Scripting Angriffe verstärkt

TYPO3-Nutzer aufgepasst: Eine bedeutende Sicherheitsanfälligkeit wurde in der Plattform entdeckt, die sich auf das HTML-Sanitizing bezieht und Angriffe mittels Cross-Site Scripting (XSS) ermöglicht. Diese Schwachstelle betrifft mehrere TYPO3-Versionen und fordert eine erhöhte Aufmerksamkeit sowie unverzügliche Maßnahmen von Website-Betreibern. Es sind die Versionen von 8.7.42 bis 8.7.54, 9.5.29 bis 9.5.43, 10.4.19 bis 10.4.40, sowie 11.3.2 bis 11.5.32 inklusive der ersten Releases der Serie 12 betroffen. Die Sicherheitslücke wurde mit einer mittleren Priorität eingestuft und unter der Kennnummer CVE-2023-47125 katalogisiert. Eine spezifische Problemstellung bei der DOM-Verarbeitung ermöglichte es, die XSS-Schutzmechanismen von TYPO3 zu umgehen. Der HTML Sanitizer, eine zentrale Komponente für die Bereinigung von Eingaben, war nicht korrekt in der Lage, bestimmte Anweisungen zu verarbeiten, was zu Sicherheitsrisiken führte. Die effektive Lösung für dieses Problem ist die Aktualisierung auf die neuesten TYPO3-Versionen: 8.7.55 ELTS, 9.5.44 ELTS, 10.4.41 ELTS, 11.5.33 sowie 12.4.8. Diese Updates enthalten die notwendigen Patches, um das Problem zu adressieren und den Schutz zu erhöhen. Wir möchten unsere Anerkennung für die Sicherheitsforscher Yaniv Nizry und Niels Dossche aussprechen, welche diese Lücke aufgedeckt haben, sowie für Oliver Hader vom TYPO3 Core & Security Team für die schnelle Behebung. Es ist stets empfohlen, den Sicherheitshandreichungen des TYPO3 Security Guide zu folgen und sich für entsprechende TYPO3-Sicherheitsankündigungen einzutragen, um über solche Updates zeitnah informiert zu werden. In der Zwischenzeit bleiben Sie sicher und achten Sie darauf, Ihre Systeme regelmäßig zu aktualisieren, um den bestmöglichen Schutz zu gewährleisten.