Wichtige Sicherheitswarnung: XSS-Schwachstelle in TYPO3 und wie Sie sich schützen können

Liebe TYPO3-Community, es wurde eine bedeutende Sicherheitslücke identifiziert, die zahlreiche TYPO3-Installationen betrifft. Die Schwachstelle, identifiziert als 'Persisted Cross-Site Scripting in Frontend Rendering', stellt ein hohes Sicherheitsrisiko dar und erfordert unverzügliche Aufmerksamkeit.

Die Kernelemente des Problems liegen in der Verarbeitung unzureichend gefilterter Serverumgebungsvariablen, wie 'PATH_INFO', durch TYPO3. In bestimmten Konfigurationen kann dieses Verhalten es Angreifern ermöglichen, schädliche Inhalte einzuschleusen, die dann anderen Nutzern der Webseite ausgeliefert werden.

Betroffen sind die Versionen 8.7.0-8.7.50, 9.0.0-9.5.39, 10.0.0-10.4.34, 11.0.0-11.5.22 und 12.0.0-12.1.3. TYPO3-Installationen mittels Composer könnten insbesondere dann anfällig sein, wenn die Serverumgebungsvariable 'TYPO3_PATH_ROOT' definiert ist.

Die gute Nachricht ist, dass die TYPO3 Core Entwickler bereits Maßnahmen ergriffen haben, um das Problem zu beheben. Ein Update auf die neuesten Sicherheitsversionen – 8.7.51 ELTS, 9.5.40 ELTS, 10.4.36 LTS, 11.5.23 LTS und 12.2.0 – schließt die Lücke.

Als Sofortmaßnahme sollten Webserver, die PHP-CGI verwenden, sicherstellen, dass die PHP-Einstellung 'cgi.fix_pathinfo=1' aktiviert ist, um fehlerhafte Pfadinformationen zu korrigieren. Ebenfalls ratsam ist es, den TypoScript-Einstellungswert 'config.absRefPrefix' auf einen statischen Pfad zu setzen, statt 'auto' zu verwenden, als vorübergehende Abwehrmaßnahme.

Wir empfehlen ebenso, beständig die TYPO3 Security Guidelines zu befolgen und sich für die 'typo3-announce' Mailingliste anzumelden, um über die neuesten Sicherheitsmeldungen informiert zu sein.