Typo3 9.5.6 y 8.7.25, nuevas actualizaciones de seguridad

Enviado por Daniel Muñoz Egido el Mar, 07/05/2019 - 16:50
logotipo de typo3 cms

El equipo de Typo3 CMS acaba de anunciar que se encuentran disponibles las actualizaciones de seguridad 9.5.6 y 8.7.25 las cuales solucionan importantes problemas de seguridad detectados en el core de la herramienta y otras extensiones.

Esta actualización de seguridad soluciona los siguientes avisos de seguridad emitidos:

  • Typo3-CORE-SA-2019-009: Information Disclosure in Page Tree.
    Usuarios del backend sin permisos para visualizar páginas específicas todavía podían verlas en el árbol de páginas cuando éstas deberían estar deshabilitadas.
  • Typo3-CORE-SA-2019-010: Information Disclosure in User Authentication.
    Los errores de intento de login que son recogidos con la etiqueta de "advertencia" en el registro son almacenadas junto con las credenciales de usuario en forma de texto si formato.
  • Typo3-CORE-SA-2019-011: Security Misconfiguration in User Session Handling.
    Cuando un usuario cambia su contraseña existiendo una sesión abierta para esa cuenta de usuario en particular ésta no es revocada. Para poder explotar esta vulnerabilidad era necesario disponer una cuenta de usuario en el sistema.
  • Typo3-CORE-SA-2019-012: Possible Arbitrary Code Execution in Image Processing.
    El procesado de imágenes, por ejemplo, para la generación de las miniaturas de éstas, está delegado a ImageMagik. Cuando ImageMagik es invocado para convertir una determinada fuente, en el caso de que un posible atacante subiera al sistema una determinada imagen que contuviera un script éste sería ejecutado en el servidor.
  • Typo3-CORE-SA-2019-013: Cross Site Scripting in Fluid Engine.
    Se ha descubierto que el paquete Fluid Engine era vulnerable a una posible inyección de código cuando se hacía uso del operador condicional ternario en determinadas plantillas.

Junto a estas vulnerabilidades descubiertas en el core de la herramienta, esta actualización de seguridad soluciona los siguientes problemas detectados en otras librerías y extensiones de terceros:

  • Typo3-PSA-2019-004: Cross Site Scripting in jQuery before 3.4.0.
     

     

  • Typo3-PSA-2019-005: Cross-Site Scripting in Bootstrap CSS toolkit before 3.4.1 and 4.3.0.

     


     

  • Typo3-PSA-2019-006: Security Misconfiguration since Typo3 9.4.0.

     

     

  • Typo3-EXT-SA-2019-005: SQL Injection in extension 'Faceted Search' (ke-search).

     

     

  • Typo3-EXT-SA-2019-006: Open Redirect in extension 'Hairu' (hairu).

     

     

  • Typo3-EXT-SA-2019-007: Remote Code Execution in Extension 'ImageOptimizer' (imageoptimizer).

     

     

  • Typo3-EXT-SA-2019-008: Multiple vulneraribilities in extension 'phpMyadmin' (phpmyadmin)

     


     

  • Typo3-EXT-SA-2019-009: Cross Site Scripting in extension 'gkh RSS Import (gkh_rss_import).

     


     

  • Typo3-EXT-SA-2019-010: Croos Site Scripting in extension 'Instagram' (ws_instagram).

     


     

  • Typo3_EXT-SA-2019-011: SQL Injection in extension 'Event Calender' (pits_wd_calender)

     


     

  • Typo3-EXT-SA-2019-012: Arbitrary file Upload in extension 'Yet Another Gallery' (yag).

     


     

  • Typo3-EXT-SA-2019-013: SQL Injection in extension 'comsolit Suggest' (comsolit_suggest).

     


     

Los desarrolladores recomiendan encarecidamente leer toda la documentación en relación a estas actualizaciones de seguridad ya que algunos de los cambios que se aplican son considerados 'de última hora' realizados con el fin de aplicar valores predeterminados de seguridad sólidos. Toda la información la podemos encontrar en el sitio web de Typo3.

 

Etiquetas