AccueilActualités informatiqueTypo3 : La nouvelle version comble deux failles de sécurité dans le...

Typo3 : La nouvelle version comble deux failles de sécurité dans le CMS

Les développeurs du CMS gratuit Typo3 ont créé Version 11.5.0 a comblé deux vulnérabilités, dont l’une présentait un risque élevé et l’autre un risque faible à moyen. Les administrateurs de Typo3 doivent mettre à jour leur(s) installation(s) si une version vulnérable est utilisée.

Sommaire

Selon l’avis de sécurité TYPO3-CORE-SA-2021-014, CVE-2021-41113 (score CVSS 8.8 / High) est dans le Typo3 versions 11.2.0 jusqu’à et y compris 11.4.0. Un attaquant pourrait donc exploiter cette vulnérabilité sans aucune authentification pour créer un nouveau compte administrateur et ainsi compromettre complètement le CMS. Toutefois, comme le montre une explication plus détaillée de CVE-2021-41113 dans la base de données nationale sur les vulnérabilités, une falsification de requête intersite (CSRF) basée sur la vulnérabilité n’est possible qu’au cours de l’interaction d’un utilisateur légitime avec le CMS (session active).

La deuxième vulnérabilité CVE-2021-41114 (avec un score CVSS de 4.8/moyen selon NVD, mais un score « faible » selon Typo3-Advisory) consiste à Typo3 11.0.0-11.4.0. Selon la description, elle correspond à une vulnérabilité plus ancienne, dont le correctif a été mis à mal au cours de réécritures du code. Il repose sur une validation insuffisante de l’en-tête d’hôte HTTP, ce qui signifie que les manipulations peuvent passer inaperçues et que les attaques par usurpation sont possibles. Des détails supplémentaires peuvent être trouvés dans un avis de l’équipe Typo3 (TYPO3-CORE-SA-2021-015) ainsi que dans l’entrée NVD pour CVE-2021-41114.

Typo3 11.5 (« Warp Speed ») comprend des corrections de lacunes ainsi que l’implémentation du système 2FA dans le backend, ce qui constitue une mise à jour supplémentaire en matière de sécurité. En outre, la nouvelle version est censée fonctionner plus rapidement et apporter des innovations dans la gestion des fichiers. Nous fournissons un aperçu des caractéristiques les plus importantes dans un rapport séparé de heise online :

Lire aussi

Plus d'articles