Typo3 9.5.6 y 8.7.25, nuevas actualizaciones de seguridad

El equipo de Typo3 CMS acaba de anunciar que se encuentran disponibles las actualizaciones de seguridad 9.5.6 y 8.7.25 las cuales solucionan importantes problemas de seguridad detectados en el core de la herramienta y otras extensiones.

Esta actualización de seguridad soluciona los siguientes avisos de seguridad emitidos:

• Typo3-CORE-SA-2019-009: Information Disclosure in Page Tree.
  Usuarios del backend sin permisos para visualizar páginas específicas todavía podían verlas en el árbol de páginas cuando éstas deberían estar deshabilitadas.
• Typo3-CORE-SA-2019-010: Information Disclosure in User Authentication.
  Los errores de intento de login que son recogidos con la etiqueta de "advertencia" en el registro son almacenadas junto con las credenciales de usuario en forma de texto si formato.
• Typo3-CORE-SA-2019-011: Security Misconfiguration in User Session Handling.
  Cuando un usuario cambia su contraseña existiendo una sesión abierta para esa cuenta de usuario en particular ésta no es revocada. Para poder explotar esta vulnerabilidad era necesario disponer una cuenta de usuario en el sistema.
• Typo3-CORE-SA-2019-012: Possible Arbitrary Code Execution in Image Processing.
  El procesado de imágenes, por ejemplo, para la generación de las miniaturas de éstas, está delegado a ImageMagik. Cuando ImageMagik es invocado para convertir una determinada fuente, en el caso de que un posible atacante subiera al sistema una determinada imagen que contuviera un script éste sería ejecutado en el servidor.
• Typo3-CORE-SA-2019-013: Cross Site Scripting in Fluid Engine.
  Se ha descubierto que el paquete Fluid Engine era vulnerable a una posible inyección de código cuando se hacía uso del operador condicional ternario en determinadas plantillas.

Junto a estas vulnerabilidades descubiertas en el core de la herramienta, esta actualización de seguridad soluciona los siguientes problemas detectados en otras librerías y extensiones de terceros:

• Typo3-PSA-2019-004: Cross Site Scripting in jQuery before 3.4.0.
   

  TYPO3-PSA-2019-004: Cross-Site Scripting in jQuery before 3.4.0https://t.co/5CACgC3eWF

  — TYPO3 Security (@typo3_security) May 7, 2019

   

• Typo3-PSA-2019-005: Cross-Site Scripting in Bootstrap CSS toolkit before 3.4.1 and 4.3.0.
  
   

  TYPO3-PSA-2019-005: Cross-Site Scripting in Bootstrap CSS toolkit before 3.4.1 and 4.3.0https://t.co/M83U9Z8qYc

  — TYPO3 Security (@typo3_security) May 7, 2019

  
   

• Typo3-PSA-2019-006: Security Misconfiguration since Typo3 9.4.0.
  
   

  TYPO3-PSA-2019-006: Security Misconfiguration since TYPO3 9.4.0https://t.co/LQtudQK7zM

  — TYPO3 Security (@typo3_security) May 7, 2019

   

• Typo3-EXT-SA-2019-005: SQL Injection in extension 'Faceted Search' (ke-search).
  
   

  TYPO3-EXT-SA-2019-005: SQL Injection in extension "Faceted Search" (ke_search)https://t.co/Bp69NxqaQm

  — TYPO3 Security (@typo3_security) May 7, 2019

   

• Typo3-EXT-SA-2019-006: Open Redirect in extension 'Hairu' (hairu).
  
   

  TYPO3-EXT-SA-2019-006: Open Redirect in extension "Hairu" (hairu)https://t.co/WN2ssBaN2z

  — TYPO3 Security (@typo3_security) May 7, 2019

   

• Typo3-EXT-SA-2019-007: Remote Code Execution in Extension 'ImageOptimizer' (imageoptimizer).
  
   

  TYPO3-EXT-SA-2019-007: Remote Code Execution in extension "ImageOptimizer" (imageoptimizer)https://t.co/T13XkvdIPk

  — TYPO3 Security (@typo3_security) May 7, 2019

   

• Typo3-EXT-SA-2019-008: Multiple vulneraribilities in extension 'phpMyadmin' (phpmyadmin)
  
   

  TYPO3-EXT-SA-2019-008: Multiple vulnerabilities in extension "phpMyAdmin" (phpmyadmin)https://t.co/lv84VmltHl

  — TYPO3 Security (@typo3_security) May 7, 2019

  
   

• Typo3-EXT-SA-2019-009: Cross Site Scripting in extension 'gkh RSS Import (gkh_rss_import).
  
   

  TYPO3-EXT-SA-2019-009: Cross Site Scripting in extension "gkh RSS Import" (gkh_rss_import)https://t.co/RChgMuFbcB

  — TYPO3 Security (@typo3_security) May 7, 2019

  
   

• Typo3-EXT-SA-2019-010: Croos Site Scripting in extension 'Instagram' (ws_instagram).
  
   

  TYPO3-EXT-SA-2019-010: Cross Site Scripting in extension "Instagram" (ws_instagram)https://t.co/HTEWRhBZaA

  — TYPO3 Security (@typo3_security) May 7, 2019

  
   

• Typo3_EXT-SA-2019-011: SQL Injection in extension 'Event Calender' (pits_wd_calender)
  
   

  TYPO3-EXT-SA-2019-011: SQL Injection in extension "Event Calender" (pits_wd_calender)https://t.co/MEoduCqU5Y

  — TYPO3 Security (@typo3_security) May 7, 2019

  
   

• Typo3-EXT-SA-2019-012: Arbitrary file Upload in extension 'Yet Another Gallery' (yag).
  
   

  TYPO3-EXT-SA-2019-012: Arbitrary file Upload in extension "Yet Another Gallery" (yag)https://t.co/dKTqyqHV6a

  — TYPO3 Security (@typo3_security) May 7, 2019

  
   

• Typo3-EXT-SA-2019-013: SQL Injection in extension 'comsolit Suggest' (comsolit_suggest).
  
   

  TYPO3-EXT-SA-2019-013: SQL Injection in extension "comsolit Suggest" (comsolit_suggest)https://t.co/38LTdInawu

  — TYPO3 Security (@typo3_security) May 7, 2019

  
   

Los desarrolladores recomiendan encarecidamente leer toda la documentación en relación a estas actualizaciones de seguridad ya que algunos de los cambios que se aplican son considerados 'de última hora' realizados con el fin de aplicar valores predeterminados de seguridad sólidos. Toda la información la podemos encontrar en el sitio web de Typo3.