Download
Beveilingsadvies; NCSC-2021-0246
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in TYPO3
Advisory ID : NCSC-2021-0246
Versie : 1.00
Kans : medium
CVE ID : CVE-2021-21338, CVE-2021-21339, CVE-2021-21340,
CVE-2021-21355, CVE-2021-21357, CVE-2021-21358,
CVE-2021-21359, CVE-2021-21370
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: http://cve.mitre.org/cve/)
Schade : high
Cross-Site Scripting (XSS)
Denial-of-Service (DoS)
Omzeilen van beveiligingsmaatregel
Spoofing
Toegang tot gevoelige gegevens
Uitgiftedatum : 20210316
Toepassing : TYPO3
Versie(s) : < 6.2.57
< 7.6.51
< 8.7.40
< 9.5.25
< 10.4.14
< 11.1.1
Platform(s) :
Beschrijving
De TYPO3 Association heeft meerdere kwetsbaarheden verholpen in
TYPO3. De kwetsbaarheden stellen een kwaadwillende in staat
aanvallen uit te voeren die leiden tot de volgende categorieën
schade:
* Cross-Site Scripting (XSS)
* Denial-of-Service (DoS)
* Omzeilen van beveiligingsmaatregel
* Spoofing
* Toegang tot gevoelige gegevens
De kwetsbaarheid met kenmerk CVE-2021-21339 betreft het in
plain-text opslaan van zogenaamde user session identifiers op de
server. Deze kwetsbaarheid kan niet direct worden uitgebuit zonder
misbruik van aanvullende kwetsbaarheden (zoals een SQL-injectie of
remote code execution).
Mogelijke oplossingen
De TYPO3 Association heeft updates uitgebracht om de kwetsbaarheden
te verhelpen. Voor meer informatie zie de onderstaande pagina's:
https://typo3.org/security/advisory/typo3-core-sa-2021-001
https://typo3.org/security/advisory/typo3-core-sa-2021-002
https://typo3.org/security/advisory/typo3-core-sa-2021-003
https://typo3.org/security/advisory/typo3-core-sa-2021-004
https://typo3.org/security/advisory/typo3-core-sa-2021-005
https://typo3.org/security/advisory/typo3-core-sa-2021-006
https://typo3.org/security/advisory/typo3-core-sa-2021-007
https://typo3.org/security/advisory/typo3-core-sa-2021-008
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=6zgW
-----END PGP SIGNATURE-----
