El equipo de desarrollo de Typo3 ha emitido varias alertas de seguridad de diversa gravedad sobre extensiones que son utilizadas por la herramienta para extender funcionalidades.
Typo3 es una herramienta open source para la gestión de contenidos (CMS) escrita en PHP y distribuida con una licencia GNU General Public. Uno de los aspectos que singulariza esta estupenda herramienta empleada como ECM (Enterprise Content Management) es el uso de Typescript, un super conjunto de JavaScript para la creación de tipos estáticos y objetos basados en clases, ya sea en el lado del cliente como de servidor (siendo este último caso el empleado por Typo3).
Sobre la herramienta se han lanzado 4 alertas de seguridad sobre algunas extensiones que son implementadas para desarrollar diferentes funcionalidades. Estas alertas son:
- Typo3-EXT-SA-2020-009.- Cross-site Scripting en la extensión "Faceted Search" (ke_search). Se ha detectado que la extensión no codifica suficientemente las entrada de usuario en los contextos de salida HTML. Esta vulnerabilidad sólo puede ser explotada por aquellos usuarios que dispongan de los permisos necesarios para realizar configuraciones de indexación y filtrado.
Para reparar esta vulnerabilidad se han publicado las actualizaciones 3.1.4 y 2.8.3, a las cuales se recomienda actualizar a la mayor brevedad posible.
TYPO3-EXT-SA-2020-009: Cross-Site Scripting in extension "Faceted Search" (ke_search)https://t.co/yChCTE3Fjr
— TYPO3 Security (@typo3_security) July 7, 2020 - Typo3-EXT-SA-2020-010.- Rotura del control de acceso en la extensión "typo3_forum" (typo3_forum). El control de acceso (ACL) de la extensión es roto bajo determinadas circunstancias, permitiendo a usuarios anónimos crear entradas en foros aunque esta característica esté deshabilitada para usuarios anónimos en la lista de control de accesos.
Para solucionar este problema se ha publicado la versión 1.2.1 a la cual se recomienda actualizar en el menor tiempo posible.
TYPO3-EXT-SA-2020-010: Broken Access Control in extension "typo3_forum" (typo3_forum)https://t.co/rPuwsUwUvx
— TYPO3 Security (@typo3_security) July 7, 2020 - Typo3-EXT-SA-2020-011.- Ejecución de código remoto en la extensión "Turn!" (turn). La extensión no sanitiza (oculta o protege) las entradas de usuario pudiendo permitir la ejecución de código remoto. La vulnerabilidad solo es explotable cuando un atacante tiene acceso FTP/SFTP a la herramienta a través del servidor.
Para su solución se ha publicado la actualización 0.3.3 la cual soluciona este problema y a la cual debemos actualizar inmediatamente.
TYPO3-EXT-SA-2020-011: Remote Code Execution in extension "Turn!" (turn)https://t.co/i5ZffVtOkC
— TYPO3 Security (@typo3_security) July 7, 2020 - Typo3-EXT-SA-2020-012.- Cross-site Scripting en la extensión "Google reCaptcha (v2/v3)" (jh_captcha). La extensión no codifica adecuadamente las entradas de usuario en contextos de salida HTML. La vulnerabilidad sólo es explotable con usuario del backend con permisos para la configuración de extensiones de TypoScript.
Para solucionar esta vulnerabilidad se han publicado las versiones 2.1.4 y 3.0.3 que solucionan el problema y a las cuales se recomienda actualizar no antes posible.
TYPO3-EXT-SA-2020-013: Multiple vulnerabilities in extension "mm_forum" (mm_forum)https://t.co/2DXcS7b9MQ
— TYPO3 Security (@typo3_security) July 7, 2020 - Typo3-EXT-SA-2020-013.- Múltiples vulnerabilidades en la extensión "mm_forum" (mm_forum).- La extensión no protege los suficientemente las entradas de usuario en un contexto de salida HTML y tampoco implementa protección contra ataques CSRF en la actualización del perfil del plugin.
La extensión no se actualizarán más por lo que se recomienda, dadas las vulnerabilidades detectadas, desinstalarla y buscar una alternativa dentro del repositorio de extensión de Typo3.
TYPO3-EXT-SA-2020-013: Multiple vulnerabilities in extension "mm_forum" (mm_forum)https://t.co/2DXcS7b9MQ
— TYPO3 Security (@typo3_security) July 7, 2020
Podemos encontrar toda la información sobre estas alertas de seguridad en el sitio web de Typo3.