Sicherheits-Update für Typo3

Version 4.2.3 schließt zwei Cross-Site-Scripting-Schwachstellen in einer Systemerweiterung und in einem Backend-Modul.

In Pocket speichern vorlesen Druckansicht 39 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Version 4.2.3 des Content Management System Typo3 beseitigt zwei Cross-Site-Scripting-Schwachstellen, durch die Angreifer Anwendern JavaScripts unterschieben und im Kontext der Typo3-Site ausführen können. Üblicherweise lassen sich auf diese Weise Zugangsdaten stehlen. Die Fehler finden sich in der Systemerweiterung felogin und dem Backend-Module file.

Beim felogin-Fehler genügt es bereits, dass ein Opfer einem präparierten Link folgt. Der Fehler in file lässt sich nach Angaben der Entwickler nur ausnutzen, wenn das Opfer ein Backend-Anwender ist oder detaillierte Informationen über die Verzeichnisstruktur des Servers vorhanden sind.

Betroffen sind die Versionen 4.2.x. Anwender der felogin-Erweiterung sollten ihr System alsbald aktualisieren. Darüber hinaus erschien eingangs der Woche ein Sammelbericht über Sicherheitslücken in verschiedenen Typo3-Erweiterungen anderer Hersteller.

Siehe dazu auch

(dab)