TYPO3 waarschuwt voor kritiek lek in CMS

[Captain Kirk]

De ontwikkelaars van het populaire contentmanagementsysteem (CMS) TYPO3 hebben gewaarschuwd voor een kritiek lek in de software waardoor er alleen via een gebruikersnaam kan worden ingelogd. Om de aanval ook uit te voeren moet de CMS-software wel op een bepaalde manier zijn ingesteld.

Zo moet de systeemextensie "rsaauth" zijn geladen en op een bepaalde manier voor frontendgebruik zijn geconfigureerd. Verder moet er een kwetsbare CMS-versie zijn geinstalleerd. Het lek, dat nog geen CVE-nummer heeft gekregen, is aanwezig in versies 4.3.0 t/m 4.3.14, 4.4.0 t/m 4.4.15, 4.5.0 t/m 4.5.39 en 4.6.0 t/m 4.6.18. Gebruikers krijgen het dringende advies om naar 4.5.40 te upgraden of een speciaal gemaakt shellscript te gebruiken dat kwetsbare TYPO3-versies patcht.

 

 

bron: security.nl