Die Entwickler des CMS TYPO3 haben die neuen Versionen TYPO3 12.4.8 LTS und TYPO3 11.5.33 LTS veröffentlicht, die sicherheitskritische Fehler beheben. Insgesamt handelt es sich um drei Sicherheitslücken die mit den Updates geschlossen werden. Die Gefährlichkeit wird bei zwei davon als „mittel“ und bei der dritten als „gering“ eingestuft.
Bei den mittelschweren Sicherheitslücken handelt es sich einmal um einen Fehler bei der Behandlung von Sessions. Wenn zwei TYPO3-Webseiten auf verschiedenen Subdomains einer Domain betrieben werden, z.B. seite1.domain.com und seite2.domain.com, kann es vorkommen, dass Seite 1 auch auf die Session-Cookies von Seite 2 zugreifen kann und umgekehrt. Dadurch kann es unter Umständen zu einer Übernahme von Benutzerkonten kommen.
Bei der zweiten mittelschweren Sicherheitslücke handelt es sich um ein Problem bei der Behandlung von Benutzereingaben mit HTML-Code. Dieser Code wird nicht ausreichend bereinigt, so dass es unter Umständen zu so genannten Cross-Site-Skripting-Angriffe auf Administratoren der Website kommen kann.
Die dritte weniger schwerwiegende Lücke betrifft den TYPO3-Installer auf Basis von composer. Bei Verwendung des Installers ist der vollständige Pfad des Verzeichnisses für temporäre Daten sichtbar. Diese Information gilt als sicherheitskritisch und kann Angriffe auf die TYPO3-Installation ermöglichen bzw. erleichtern. Das Update behebt das Problem, so dass der Pfad nicht mehr sichtbar ist.
Neben den Sicherheitslücke beheben die Updates noch eine ganze Reihe von weiteren Fehlern und Problemen. Eine Upgrade auf die neuen TYPO3-Versionen wird daher dringend empfohlen.