Die Macher des Content Management Systems Typo3 haben neue Versionen der Software veröffentlicht. Damit werden Sicherheitslücken geschlossen, von denen eine mit hohem Risiko bewertet ist.
Mit den Versionen Typo3 12.1.1, 11.5.20 und 10.4.33 reagieren die Entwickler auf Sicherheitsprobleme. Alle Updates seien reine Sicherheitsreleases und würden wichtige Fixes für die Lücken enthalten, heißt es in der Ankündigung. Von den insgesamt sechs aufgezählten Problemen zählt diejenige mit der CVE-2022-23503 zu den schwerwiegenden. Über sie lässt sich Code einschleusen. Grund dafür sei die fehlende Trennung der vom Benutzer übermittelten Daten von der internen Konfiguration im Backend-Modul Form Designer. Darüber sei es möglich, Code zu injizieren, der dann über TypoScript als PHP-Code verarbeitet und ausgeführt werde, heißt es im Security-Bulletin.
Wie die Entwickler weiter mitteilen, gilt für alle nun veröffentlichten Versionen, dass dafür keine Datenbank-Upgrades erforderlich seien. In der Ankündigung sind Installationshinweise verlinkt und Informationen zu den weiteren Sicherheitslücken.
