TYPO3 Sicherheitswarnung: XSS-Schwachstelle im CKEditor4 WordCount Plugin identifiziert

TYPO3-Nutzer aufgepasst: Eine mittelschwere Sicherheitslücke im CKEditor4 WordCount Plugin könnte die Sicherheit eurer Website gefährden. Das Plugin wird im Rich Text Editor CKEditor4 verwendet und zeigt bei aktivierter Funktion die Anzahl der Wörter und Zeichen in den bearbeiteten Texten an. Die Schwachstelle wurde konkret beim Wechsel in den Quellcode-Modus des Editors identifiziert, wodurch Cross-Site Scripting (XSS) Angriffe ermöglicht werden könnten. Von diesem Risiko betroffen sind verschiedene TYPO3-Versionen: von 9.5.0 bis 9.5.41, 10.0.0 bis 10.4.38 sowie von 11.0.0 bis 11.5.29. Besonders hervorzuheben ist dabei, dass das Plugin zwar über die Full.yaml-Konfiguration aktiviert werden kann, es jedoch nicht in der Standardkonfiguration aktiv ist. In der Regel setzt die Ausnutzung der Schwachstelle ein gültiges Backend-Benutzerkonto voraus, was jedoch bei Verwendung von benutzerdefinierten Plugins an der Website-Frontend, die reichhaltige Textinhalte von Nutzern annehmen und widerspiegeln, entfallen könnte. Die Lösung des Problems erfolgt über ein Update auf die TYPO3-Versionen 9.5.42 ELTS, 10.4.39 ELTS oder 11.5.30, die die Schwachstelle beheben. Diese Entdeckung betont die Notwendigkeit des proaktiven Sicherheitsmanagements innerhalb des TYPO3-Umfelds. Als Websitebetreiber oder Entwickler ist es wesentlich, laufend über die aktuellsten Sicherheitswarnungen und -empfehlungen informiert zu sein. Abonnements von TYPO3-spezifischen Sicherheitsankündigungen und regelmäßige Überprüfungen von Sicherheitsempfehlungen, wie sie im TYPO3 Security Guide auffindbar sind, können dazu beitragen, die eigene Infrastruktur stets geschützt zu halten. Es ist unabdingbar, sofortige Maßnahmen zu ergreifen, um die betroffenen Systeme zu aktualisieren und so die Sicherheit und Zuverlässigkeit von Webpräsenzen zu gewährleisten.