Kritische Sicherheitslücke im TYPO3 Scheduler-Modul: Cross-Site Request Forgery (CSRF)
Eine schwerwiegende Schwachstelle wurde im Scheduler-Modul von TYPO3 entdeckt, die in den Versionen 11.0.0 bis 11.5.41 vorliegt. Die Sicherheitslücke erlaubt Cross-Site Request Forgery (CSRF)-Angriffe auf die Backend-Benutzeroberfläche. Dabei können Angreifer über manipulierte URLs schädliche Aktionen ausführen, sofern ein Backend-Benutzer aktiv eingeloggt ist und auf den Link klickt, beispielsweise per E-Mail oder über eine manipulierte Website.
Die Schwachstelle nutzt fehlerhafte HTTP-Methodenüberprüfungen und ermöglicht es Angreifern, vordefinierte Befehle auszuführen. Dies kann zu unautorisierten Datenimporten oder -exporten führen, insbesondere wenn Sicherheitskonfigurationen wie security.backend.enforceReferrer deaktiviert oder BE/cookieSameSite falsch konfiguriert sind.