News

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführe, SQL-Programmcode zu injizieren sowie Cross-Site-Scripting (XSS)-Angriffe durchzuführen und in einem Server-Side-Request-Forgery (SSRF)-Angriff Informationen auszuspähen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Die Schwachstelle CVE-2021-29625 erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung dieser und einer weiteren Schwachstelle kann Einfluss auf andere Komponenten haben.

Die Erweiterung "Job portal" (psvneo_jobfair) kann über den Composer auf Version 3.0.1 aktualisiert werden. Sicherheitsupdates für die anderen Erweiterungen stehen über das TYPO3 Extension Repository im TYPO3 Extension Manager bereit. Dies sind: "Adminer" (t3adminer) 9.6.1, "Grid Elements" (gridelements) 10.3.0, 9.8.0, 8.8.0 und 7.7.0, "One is Enough Library" (oelib) 4.1.6 sowie "Seminar Manager" (seminars) 4.1.4.
 

Schwachstellen:

• CVE-2018-7667:
  Schwachstelle in Adminer ermöglicht Server-Side-Request-Forgery-Angriff
• CVE-2021-29625:
  Schwachstelle in Adminer ermöglicht Cross-Site-Scripting-Angriff
• CVE-2022-29600:
  Schwachstelle in TYPO3-Erweiterung One is Enough Library ermöglicht SQL-Injektion
• CVE-2022-29601:
  Schwachstelle in TYPO3-Erweiterung Seminar Manager ermöglicht SQL-Injektion
• CVE-2022-29602:
  Schwachstelle in TYPO3-Erweiterung Grid Elements ermöglicht Cross-Site-Scripting-Angriff
• TYPO3-EXT-SA-2022-005:
  Schwachstelle in TYPO3-Erweiterung Job portal ermöglicht Ausführen beliebigen Programmcodes

Weitere Infos erhalten Sie hier:

https://typo3.org/article/typo3-ext-sa-2022-008
https://www.cybersecurity-help.cz/vdb/SB2022042612
https://www.cybersecurity-help.cz/vdb/SB2022042613
https://typo3.org/security/advisory/typo3-ext-sa-2022-009
https://www.cybersecurity-help.cz/vdb/SB2022042614

Bei allen unseren Wartungsvertragskunden wurden diese Security-Updates bereits eingespielt!