Kritische Sicherheitslücke im TYPO3 Scheduler-Modul: Cross-Site Request Forgery (CSRF)

Eine schwerwiegende Schwachstelle wurde im Scheduler-Modul von TYPO3 entdeckt, die in den Versionen 11.0.0 bis 11.5.41 vorliegt. Die Sicherheitslücke erlaubt Cross-Site Request Forgery (CSRF)-Angriffe auf die Backend-Benutzeroberfläche. Dabei können Angreifer über manipulierte URLs schädliche Aktionen ausführen, sofern ein Backend-Benutzer aktiv eingeloggt ist und auf den Link klickt, beispielsweise per E-Mail oder über eine manipulierte Website.

Die Schwachstelle nutzt fehlerhafte HTTP-Methodenüberprüfungen und ermöglicht es Angreifern, vordefinierte Befehle auszuführen. Dies kann zu unautorisierten Datenimporten oder -exporten führen, insbesondere wenn Sicherheitskonfigurationen wie security.backend.enforceReferrer deaktiviert oder BE/cookieSameSite falsch konfiguriert sind.

Related Posts

Allianz Risk Barometer 2025: Cyber-Attacken bleiben weltweit das größte Risiko

Laut dem Allianz Risk Barometer 2025 sind Cybervorfälle erneut das größte Geschäftsrisiko. Datenschutzverletzungen, Ransomware und IT-Ausfälle betreffen 38 % der Unternehmen. Auch in Deutschland bleiben Cyberangriffe die größte Bedrohung für Unternehmen.

Read More

Kritische Sicherheitslücken in Rsync aufgetaucht

Am 14. Januar 2025 wurde bekannt, dass die Software Rsync, mit der Dateien zwischen Computern oder Speichern synchronisiert werden, sechs gravierende Sicherheitslücken hat. Alle Versionen bis einschließlich 3.3.0 sind betroffen. Rsync wird oft verwendet, um Daten effizient zu kopieren und zu sichern. Diese Fehler können dazu führen, dass Angreifer Programme manipulieren, geheime Daten auslesen oder Dateien an unerlaubte Orte schreiben. Zu den betroffenen Betriebssystemen gehören unter anderem AlmaLinux, Arch Linux, Gentoo Linux, NixOS, Red Hat und SUSE Linux.

Read More

Kritische Schwachstellen in HPE Aruba Networking AOS-Software

Am 14. Januar 2025 veröffentlichte Hewlett Packard Enterprise (HPE) eine Sicherheitswarnung zu mehreren schwerwiegenden Schwachstellen in den Betriebssystemen AOS-8 und AOS-10, die in Aruba Mobility Conductors, Controllern und Gateways eingesetzt werden. Die Schwachstellen ermöglichen Authentifizierten die Ausführung beliebigen Codes und die Manipulation von Systemdateien über die Web- und CLI-Managementschnittstellen.

Read More