Die Entwickler des freien CMS Typo3 haben mit Version 11.5.0 zwei Sicherheitslücken geschlossen, von denen eine ein hohes und die andere ein niedriges bis mittleres Risiko barg. Typo3-Admins sollten ein Upgrade ihrer Installation(en) vornehmen, sofern eine verwundbare Version im Einsatz ist. Laut dem Sicherheitshinweis TYPO3-CORE-SA-2021-014 steckt CVE-2021-41113 (CVSS-Score 8.8 / High) in den Typo3-Versionen 11.2.0 bis einschließlich 11.4.0. Ein Angreifer könnte die Lücke demnach ohne jegliche Authentifizierung ausnutzen, um einen neuen Admin-Account anzulegen und das CMS somit vollständig zu kompromittieren. Wie aus einer ausführlicheren Erläuterung zu CVE-2021-41113 in der National Vulnerability Database hervorgeht, ist eine auf der Lücke basierende sogenannte Cross-Site-Request-Forgery (CSRF) allerdings nur im Zuge der Interaktion eines legitimen Nutzers mit dem CMS (aktive Session) möglich. Die zweite Sicherheitslücke CVE-2021-41114 (mit einem CVSS-Score 4.8/Medium laut NVD, aber einer „Low“-Einstufung laut Typo3-Advisory) besteht in Typo3 11.0.0-11.4.0. Laut Beschreibung entspricht sie einer älteren Lücke, deren Behebung im Zuge von Code-Umbauten wieder ausgehebelt wurde. Sie basiert auf einer unzureichenden Validierung des HTTP Host Headers die dazu führt, dass Manipulationen unter Umständen unerkannt bleiben und Spoofing-Angriffe möglich sind. Weitere Details sind auch hier einem Advisory des Typo3-Teams (TYPO3-CORE-SA-2021-015) sowie dem NVD-Eintrag zu CVE-2021-41114 zu entnehmen. Typo3 11.5 („Warp Speed“) umfasst neben den Lücken-Fixes auch eine 2FA-Implementierung im Backend als weitere sicherheitsrelevante Aktualiseirung. Außerdem soll die neue Version flotter laufen und mit Neuerungen bei der Dateiverwaltung punkten.
