Sicherheitswarnung: TYPO3-CORE-SA-2024-003 offenbart Passworthashes im Backend

Es wurde kürzlich festgestellt, dass das Content-Management-System TYPO3 eine Sicherheitslücke aufweist, die zu einer unbeabsichtigten Veröffentlichung von verschlüsselten Passwörtern führen kann. Die Schwachstelle, identifiziert als TYPO3-CORE-SA-2024-003, betrifft die Formular-Engine-Komponente im Backend von TYPO3 und wurde mit einem mittleren Schweregrad eingestuft. Betroffen sind die Versionen 8.0.0 bis 13.0.0, und es wurde ein entsprechender CVE-Eintrag (CVE-2024-25118) veröffentlicht.\n\nDie Problembeschreibung deutet darauf hin, dass Passworthashes in den Bearbeitungsformularen der TYPO3-Backend-Benutzeroberfläche reflektiert wurden. Das könnte es einem Angreifer ermöglichen, mithilfe von Brute-Force-Techniken das dazugehörige Klartextpasswort herauszufinden. Um diese Schwachstelle auszunutzen, ist jedoch ein gültiger Backend-Benutzeraccount mit Zugriff auf entsprechende Passworteingabefelder erforderlich.\n\nAls Lösung werden aktualisierte TYPO3-Versionen empfohlen, die speziell für die Behebung dieses Problems entwickelt wurden. Die entsprechenden Versionen sind: 8.7.57 ELTS, 9.5.46 ELTS, 10.4.43 ELTS, 11.5.35 LTS, 12.4.11 LTS und 13.0.1. Es ist von größter Bedeutung, dass Administratoren von TYPO3-Websites diese Updates so schnell wie möglich durchführen, um das Risiko eines Datenschutzverstoßes zu minimieren.\n\nEine generelle Empfehlung für TYPO3-Benutzer ist es, den Leitfaden zur Sicherheit im TYPO3 Security Guide zu folgen und sich für die TYPO3-Ankündigungs-Mailingliste anzumelden, um zeitnah über ähnliche Sicherheitsprobleme informiert zu werden.\n\nWir möchten auch den Beitrag von Christian Kuhn, Maximilian Beckmann, Klaus-Günther Schmidt und Oliver Hader würdigen, die an der Entdeckung, Meldung und Behebung dieses Sicherheitsproblems beteiligt waren.