El equipo de desarrollo de Typo3 acaba de anunciar que se encuentran disponible las actualizaciones de seguridad 10.2.2, 9.5.13 LTS y 8.7.30 LTS las cuales solucionan diversas vulnerabilidad detectadas en el core de la herramienta.
Las actualizaciones publicadas solucionan importantes problemas de seguridad que han sido detectados en el core de esta herramienta para la gestión de contenidos:
- Cross-site Scripting en la validación del framework de gestión de formularios [CORE-SA-2019-021].
Se ha detectado que la salida de errores de los campos del framework de gestión de formularios es vulnerable a un posible ataque del tipo Cross-site Scripting. - Cross-site Scripting en la gestión de enlaces [CORE-SA-2019-022].
Se ha detectado que la gestión t3//URL y la funcionalidad typolink son vulnerables a posibles ataques del tipo Cross-site Scripting. Esta vulnerabilidad afecta tanto a los formulario de los componentes del backend y a aquellas extensiones del frontend en las cuales se pueda utilizar un renderizado con typolink. - Cross-site Scripting en el módulo Filelist [CORE-SA-2019-023].
Se ha detectado que la tabla de salida del módulo del backend Files es vulnerable a un posible ataque del tipo Cross-site Scripting cuando una de las extensiones de los archivos contiene secuencias maliciosas. Para poder explotar esta vulnerabilidad el posible atacante debe tener acceso al sistema de archivos del servidor, ya sea directamente o a través de un proceso de sincronización. - Acceso a directorios en la extracción de archivos ZIP [CORE-SA-2019-024].
Se ha detectado que durante la extracción manual de archivos ZIP que han sido subidos mediante Extension Manager estos pueden ser vulnerables a un posible acceso no permitido a dichos directorios. Para poder explotar esta vulnerabilidad se deben poseer un rol con permisos de administración. - Inyección SQL en la generación de consultas de bajo nivel [CORE-SA-2019-025].
Una salida no adecuada del contenido subido por el usuario puede provocar una vulnerabilidad del tipo SQL Injection en la clase QueryGenerator. Para poder explotar esta vulnerabilidad se debe tener instalada la extensión ext:lowlevel y poseer permisos de administración. - Deserialización insegura en la generación y vista de consultas [CORE-SA-2019-026].
Se ha detectado que las clases QueryGenerator y QueryView son vulnerables a una deserialización insegura. Para que dicha vulnerabilidad pueda ser explotada se debe dar al menos una de estas dos condiciones: tener instalada la extención ext:lowlevel (módulo DB Check) y poseer permisos de administración dentro del sistema; tener instalada la extensión ext:sys y poseer ciertos permisos dentro del sistema. - Cross-site Scripting en la gestión de subida de archivos [PSA-2019-010].
Typo3 permite la subida de archivos tanto desde la la interfaz de administración de la herramienta como por parte de extensiones personalizadas. Para reducir la posibilidad de que se pueda subir código malicioso Typo3 usa fileDenyPatter para denegar, por ejemplo, el envío de scripts PHP persistentes. Junto a esto también es posible que un editor suba un archivo utilizando el módulo de archivos (fileadmin) o cambiar la imagen empleada como avatar mediante el panel de administración en Typo3.
Los archivos HTML y SVG también pueden contener scripts, lo cual hace que todo el conjunto de la aplicación se vea expuesta a un posible ataque del tipo Cross-site Scripting.
Para mitigar esta amenaza se puede instalar la extensión svg_sanitizer, la cual ha sido impementada para que se pueda hacer uso de ella a través del paquete de composer enshrined/svg-sanitize. - Posible deserialización insegura en la gestión de peticiones Extbase [PSA-2019-011].
Se de detectado que la gestión de peticiones en Extbase puede sufrir una deserialización insegura. Un usuario que envíe una solicitud debe estar formada con su correspondiente HMAC-SHAq usando para ello la clave secreta de cifrado de Typo3 excryptionKey, sin la cual la petición no es deserializada.
Sin embargo, puede darse el caso que en determinada información sensible que se haya filtrado por cualesquiera motivo, un posible atacante pueda conocer la encryptionKey y con ella calcular la HMAC-SHA1 para insertar código malicioso que será deserializado durante la ejecución de la petición.
Dada la gran cantidad de vulnerabilidades detectadas así como la gravedad de las mismas, se recomienda la actualización de todas las instalaciones. Para ello lo podemos hacer de las maneras tradicionales, empleando el paquete fuente que contiene la nueva versión y la cual podemos encontrar en este enlace, o bien, si disponemos de acceso remoto al servidor o trabajamos en un entorno de desarrollo, podemos realizar la actualización con el gestor de paquetes Composer.
Podemos encontrar toda la información relativa a estas actualizaciones de seguridad en el sitio web de Typo3.
Fuente