Geliştiriciler Typo3 içerik yönetim sisteminde on güvenlik açığı olduğunu bildirdi. Bazı yüksek riskli güvenlik açıklarını gideren Typo3'ün güncellenmiş sürümleri mevcuttur.
Duyuru
Çoğu güvenlik ihlali siteler arası komut dosyası çalıştırmadan kaynaklanmaktadır. Bu, saldırganların kurbanlara kullanıcı bağlamlarına kötü amaçlı kod enjekte eden ve çalıştıran bağlantılar sağlamasına olanak tanır. Planlama modülündeki en ciddi güvenlik açığının tanımına göre, ele geçirilmiş veya manipüle edilmiş bir web sitesini ziyaret etmek yeterlidir.
Bazı güvenlik açıklarının ciddiyeti nedeniyle BT yöneticilerinin yazılımın güncellenmiş sürümlerini hızlı bir şekilde yüklemesi gerekir. Güvenlikle ilgili hata düzeltmeleri Typo3 sürümleri 9.5.49 ELTS, 10.4.48 ELTS, 11.5.42 ELTS, 12.4.25 LTS, 13.4.3 LTS. Bunlar Typo3 indirme sayfasında mevcuttur. Özellikle, 10 ve 11 numaralı geliştirme dallarına yönelik güncellemeler artık ücretsiz sürümde desteklenmemektedir; kullanıcıların sürüm 12 veya 13'e yükseltme yapması gerekmektedir; Ancak güvenlik önerileri ilgili tarafların Typo3 9.5.49 ELTS güncellemesini nereden alabileceklerini açıklamıyor.
Ayrıntılı olarak güvenlik açıkları:
Daha yakın bir zamanda, 2023'ün başlarında Typo3'te yüksek riskli güvenlik açıkları keşfedildi. Yine siteler arası komut dosyası çalıştırmadaki bir boşluk, kötü amaçlı HTML kodunun eklenmesini mümkün kıldı.
(Bilmiyorum)
Duyuru
Çoğu güvenlik ihlali siteler arası komut dosyası çalıştırmadan kaynaklanmaktadır. Bu, saldırganların kurbanlara kullanıcı bağlamlarına kötü amaçlı kod enjekte eden ve çalıştıran bağlantılar sağlamasına olanak tanır. Planlama modülündeki en ciddi güvenlik açığının tanımına göre, ele geçirilmiş veya manipüle edilmiş bir web sitesini ziyaret etmek yeterlidir.
Bazı güvenlik açıklarının ciddiyeti nedeniyle BT yöneticilerinin yazılımın güncellenmiş sürümlerini hızlı bir şekilde yüklemesi gerekir. Güvenlikle ilgili hata düzeltmeleri Typo3 sürümleri 9.5.49 ELTS, 10.4.48 ELTS, 11.5.42 ELTS, 12.4.25 LTS, 13.4.3 LTS. Bunlar Typo3 indirme sayfasında mevcuttur. Özellikle, 10 ve 11 numaralı geliştirme dallarına yönelik güncellemeler artık ücretsiz sürümde desteklenmemektedir; kullanıcıların sürüm 12 veya 13'e yükseltme yapması gerekmektedir; Ancak güvenlik önerileri ilgili tarafların Typo3 9.5.49 ELTS güncellemesini nereden alabileceklerini açıklamıyor.
Ayrıntılı olarak güvenlik açıkları:
- CVE-2024-55924, CVSS, Planlama Modülünde Siteler Arası İstek Sahteciliği 8.0, yüksek
- Extension Manager modülü CVE-2024-55921, CVSS'de siteler arası istek sahteciliği 7.5, yüksek
- Forms Framework CVE-2024-55922, CVSS'de Siteler Arası İstek Sahteciliği 5.4, orta
- Fark Analizi yoluyla Potansiyel Açık Yönlendirme CVE-2024-55892, CVSS 4.8, orta
- Arka Uç Kullanıcı Formu CVE-2024-55894, CVSS'de Siteler Arası İstek Sahteciliği 4.3, orta
- CVE-2024-55920, CVSS gösterge paneli modülünde siteler arası istek sahteciliği 4.3, orta
- DB Kontrol Modülü CVE-2024-55945, CVSS'de Siteler Arası İstek Sahteciliği 4.3, orta
- Dizine Alınmış Arama Formu CVE-2024-55923, CVSS'de Siteler Arası İstek Sahteciliği 4.3, orta
- CVE-2024-55893, CVSS, Kayıt Modülünde Siteler Arası İstek Sahteciliği 4.3, orta
- İstisna İşleme/Kayıtlayıcı CVE-2024-55891, CVSS aracılığıyla Bilgi İfşası 3.1, Bas
Daha yakın bir zamanda, 2023'ün başlarında Typo3'te yüksek riskli güvenlik açıkları keşfedildi. Yine siteler arası komut dosyası çalıştırmadaki bir boşluk, kötü amaçlı HTML kodunun eklenmesini mümkün kıldı.
(Bilmiyorum)