TYPO3 Sicherheitsupdate: Schutz vor CSRF im Backend

15.01.2025
In der aktuellen Sicherheitsmitteilung beleuchten wir die kürzlich entdeckte Schwachstelle im TYPO3 CMS, die durch Cross-Site Request Forgery (CSRF) im Backend-Benutzermodul entsteht. Diese Lücke betrifft mehrere Versionen und erfordert dringend ein Update auf die neuesten Versionen, um die Integrität Ihrer Webseiten sicherzustellen. Erfahren Sie, wie Sie Ihr System schützen und welche Maßnahmen ergriffen werden sollten.

Es wurde eine Sicherheitslücke in TYPO3 CMS identifiziert, die auf Cross-Site Request Forgery (CSRF) im Backend-Benutzermodul zurückzuführen ist. Diese Schwachstelle betrifft TYPO3-Versionen 11.0.0 bis 11.5.41, 12.0.0 bis 12.4.24, und 13.0.0 bis 13.4.2, und wurde als mittelgradig eingestuft.

Beschreibung des Sicherheitsproblems

Die identifizierte Schwachstelle tritt in der Backend-Benutzeroberfläche auf, wo es Angreifern möglich ist, durch Ausnutzung von CSRF die Kontrolle über Benutzeraktionen zu erlangen. Dies kann insbesondere passieren, wenn staatenverändernde Aktionen mit falschen HTTP-Methoden akzeptiert werden, insbesondere über HTTP GET.

Um die Sicherheitslücke auszunutzen, muss ein Angreifer das Opfer dazu bringen, mit einem bösartigen URL-Link zu interagieren, während dieses im Backend angemeldet ist. Dies könnte beispielsweise durch den Versand eines manipulierten Links per E-Mail oder über eine kompromittierte Website geschehen, sofern bestimmte Sicherheitseinstellungen des Systemes nicht optimal konfiguriert sind.

Maßnahmen zur Behebung

Zur Sicherung Ihres Systems wird dringend empfohlen, auf die folgenden sicheren TYPO3-Versionen zu aktualisieren: 11.5.42 ELTS, 12.4.25 LTS, 13.4.3 LTS. Diese Versionen beheben die beschriebenen Probleme.

Es ist ebenfalls ratsam, die Funktionalität security.backend.enforceReferrer aktiviert zu lassen und die BE/cookieSameSite-Einstellung auf "strict" zu belassen, was dem Standardsicherheitsniveau entspricht. Entwickler von Erweiterungen sollten ihren Code überprüfen und bei Bedarf anpassen, um ähnliche Sicherheitslücken in ihren Modulen zu vermeiden.

Zusätzliche Hinweise und Empfehlung

Erweiterte Sicherheitsrichtlinien und Anleitungen finden Sie im offiziellen TYPO3-Dokument zu Sicherheitsüberlegungen. Es wird auch empfohlen, sich für die TYPO3-Informationsliste TYPO3-announce anzumelden, um aktuelle Sicherheitsinformationen direkt zu erhalten.

Die TYPO3-Community arbeitet kontinuierlich daran, Sicherheitslücken zu identifizieren und zu beheben, und dankt allen Mitgliedern, die an der Lösung dieses Problems mitgewirkt haben. Alle sicherheitsrelevanten Änderungen können Sie im TYPO3-Review-System nachvollziehen.

Indem Sie diese Maßnahmen umsetzen, tragen Sie dazu bei, Ihre TYPO3-Installation sicher zu halten und das Risiko von Sicherheitsvorfällen zu minimieren.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

Wir geben diese Nummer niemals weiter.
Nur zur Bearbeitung dieser Anfrage. Wir versenden niemals Spam.