Correcciones de seguridad para TYPO3 CMS 6.2 LTS y 7.3

El equipo de seguridad de TYPO3 acaba de publicar 6 boletines de seguridad. Esto significa que las versiones de TYPO3 6.2.0 a 6.2.13, así como TYPO3 7.0.0 a 7.3.0 deben clasificarse como inseguras. Las vulnerabilidades en el núcleo permiten los siguientes escenarios de ataque: Cross-Site Scripting, Brute Force Protection Bypass, Information Disclosure, Session Fixation y Access Bypass.

Recomendamos la supervisión automática de las instancias de TYPO3 con el TYPO3 Monitor. Esta herramienta se utiliza en Brain Appeal desde hace más de 5 años y actualmente se está ampliando para que todos puedan utilizarla. Las cuentas gratuitas están disponibles bajo petición.

Enlaces a los boletines de seguridad:

Acceso a la derivación cuando se editan los metadatos de los archivos

Fijación de la sesión de inicio de sesión en el frontend

Cross-Site Scripting explotable por los editores

Posibilidad de divulgación de información explotable por los editores

Evasión de la protección por fuerza bruta en el inicio de sesión del backend

Cross-Site Scripting en la biblioteca de terceros Flowplayer

 

ACTUALIZACIÓN 06.07.2015: 

También para TYPO3 CMS 4.5 está disponible un parche para solucionar las vulnerabilidades desde el 01.07.2015 (TYPO3 4.5.41). Sin embargo, este parche sólo se ofrece como parte de la Asistencia Ampliada a Largo Plazo (ELTS) y está sujeto a una tarifa.

Más información:

Anunciamos los planes de soporte extendido a largo plazo de TYPO3 CMS 4.5