Sicherheitsupdate für TYPO3: Aktualisierung der 'Additional TCA'-Erweiterung dringend empfohlen

Am 18. März 2025 wurde eine Sicherheitslücke in der Drittanbieter-Erweiterung „Additional TCA“ für TYPO3 bekannt gegeben. Diese Schwachstelle betrifft die Versionen von 1.7.0 bis 1.15.16 sowie 1.16.0 bis 1.16.8 und ist als Cross-Site Scripting (XSS) klassifiziert, mit einer mittleren Gefährdungsstufe.

Beschreibung des Problems

Die Schwachstelle resultiert aus einer unzureichenden Maskierung von Benutzereingaben, die im HTML-Kontext innerhalb der TYPO3-Backend-Oberfläche angezeigt werden. Wichtigerweise ist zu beachten, dass der Angriff nur von einem eingeloggten Backend-Nutzer ausgeführt werden kann. Diese Einschränkung reduziert zwar das Risiko, sollte jedoch nicht unterschätzt werden.

Lösungsansatz

Zur Behebung dieser Schwachstelle stehen Updates auf die Versionen 1.15.17 und 1.16.9 bereit. Diese Aktualisierungen können über den TYPO3-Extension-Manager sowie über Packagist bezogen werden. Es wird dringend empfohlen, die Erweiterung umgehend zu aktualisieren, um mögliche Sicherheitslücken zu schließen:

• Download Version 1.15.17
• Download Version 1.16.9

Das TYPO3 Security Team rät zudem dazu, die Content Security Policy (CSP) für das TYPO3-Backend zu aktivieren, um die Sicherheit zu erhöhen. In TYPO3 Version 13.4 ist diese Sicherheitsmaßnahme standardmäßig aktiviert.

Weitere Empfehlungen

Für die Sicherheit Ihrer TYPO3-Installationen wird empfohlen, den TYPO3 Security Guide zu befolgen und sich in den TYPO3-announce Verteiler einzutragen, um frühzeitig über sicherheitsrelevante Themen informiert zu werden.

Denken Sie daran, dass regelmäßige Updates entscheidend zur Sicherstellung der Sicherheit Ihres Systems beitragen. Ein besonderer Dank gebührt dem Schweizer NCSC Vulnerability Management Team für die Entdeckung dieser Schwachstelle sowie Thomas Deuling für die Bereitstellung der aktualisierten Erweiterungen.