Vulnerabilidad en una carga maliciosa, como HTML con JavaScript en la interfaz de usuario del backend y la herramienta de instalación en TYPO3 CMS (CVE-2020-11069)

En TYPO3 CMS versiones 9.0.0 hasta 9.5.16 y versiones 10.0.0 hasta 10.4.1, se detectó que la interfaz de usuario del backend y la herramienta de instalación son vulnerables a un ataque de tipo same-site request forgery. Un usuario del backend puede ser engañado para que interactúe con un recurso malicioso que un atacante administró previamente para cargarlo en el servidor web. Los scripts son luego ejecutados con los privilegios de la sesión de usuario de las víctimas. En un escenario del peor de los casos, nuevos usuarios administradores pueden ser creados, lo que pueden ser usado directamente por un atacante. La vulnerabilidad es básicamente una de tipo cross-site request forgery (CSRF) activada por una vulnerabilidad de tipo cross-site scripting (XSS), pero se presenta en el mismo host de destino, por lo que en realidad es una vulnerabilidad de tipo same-site request forgery. Una carga maliciosa, como HTML que contiene JavaScript, puede ser proporcionada por un usuario del backend autenticado o por un usuario no autenticado que use una extensión de terceros, por ejemplo, una carga de archivos en un formulario de contacto con el conocimiento de la ubicación de destino. Para tener éxito, la víctima atacada requiere una sesión de usuario del backend o la herramienta de instalación activa y válida al momento del ataque. Esto ha sido corregido en las versiones 9.5.17 y 10.4.2. El despliegue de técnicas de mitigación adicionales se sugiere como se describe a continuación. - Sudo Mode Extension, esta extensión de TYPO3 intercepta modificaciones en las tablas de bases de datos relevantes para la seguridad, por ejemplo, aquellas que almacenan cuentas de usuario o almacenamientos de la capa de abstracción de archivos. Las modificaciones necesitan ser confirmadas nuevamente por el usuario activo que proporcione su contraseña nuevamente. Esta técnica se conoce como modo sudo. De esta manera, pueden ser mitigadas las acciones no previstas que suceden en segundo plano. - https://github.com/FriendsOfTYPO3/sudo-mode - https://extensions.typo3.org/extension/sudo_mode - Content Security Policy Content Security Policies le dice a los navegadores (modernos) cómo se manejan los recursos que sirven a un sitio en particular. También es posible rechazar ejecuciones de script para ubicaciones específicas. En un contexto TYPO3, se sugiere no permitir la ejecución directa de scripts al menos para las ubicaciones /fileadmin/ y /uploads/.