CVE-2024-22188 - Authentifizierte Remote-Code-Ausführung in TYPO3

Zusammenfassung

TYPO3 <=11.5.32 ermöglicht einem authentifizierten Admin-Benutzer (mit Systembetreuer-Rechten) die Ausführung beliebiger Shell-Befehle (mit den Rechten des Webservers) über eine Befehlsinjektionsschwachstelle in einem Formularfeld des Einstellungsdialogs.

Angriffsvektor

Ein Typo3-Admin mit Systembetreuer-Rechten kann beliebige Shell-Befehle auf dem jeweiligen Server ausführen. Ein Formularfeld im Einstellungsdialog ist anfällig für Command Injection.

Proof of Concept Details

Um diese Schwachstelle auszunutzen, öffnen Sie Admintools => Einstellungen => Installationsweite Optionen konfigurieren und setzen den Wert von

[GFX][processor_stripColorProfileCommand] auf +profile '*'; <exploit_code>#

Führen Sie dann den eingeschleusten Code aus, indem Sie auf Admintools => Environment => Image Processing => Test Images klicken.

Zeitleiste

Tag 0 Pentest für ungenannten Kunden
Tag 14 Problem wurde an Typo3 gemeldet
Tag 14 CVE wurde bei MITRE angefordert
Tag 14 Typo3 bestätigte das Problem
Tag 15 MITRE veröffentlicht CVE-2024-22188
Tag 39 Typo3 veröffentlicht korrigierte Versionen

Danksagung