Sicherheitsupdate für Typo3

Daniel Dubsky, 23. Februar 2010, 13:50 Uhr

Zwei der Lecks befinden sich im Backend, das anfällig für Cross-Site-Scriptings (XSS) ist und wo ein Angreifer durch einen Fehler im Task sys_action Nutzerdaten auslesen kann. Voraussetzung ist in beiden Fällen aber ein gültiger Login.

Ein weiteres XSS-Leck ist im Frontend zu finden, wo man der index.php unter bestimmten Umständen Parameter unterschieben und auf diese Weise Fehlermeldungen auslösen oder gar eigenen HTML-Code anzeigen kann. Am kritischsten ist aber ein Fehler in der Erweiterung saltedpasswords, durch den man die Authentifizierung umgehen und sich ohne Passwort einloggen kann.

Abgesehen davon bringen die neuen Typo3-Versionen 4.3.2 und 4.2.12 auch einige Bugfixes mit. (Daniel Dubsky)

Lesen Sie auch :

Strato erweitert Homepage-Baukasten um Website-Importfunktion

Entwickler haben Typo 3 CMS 7.5 freigegeben

CMS Typo3 jetzt in Version 7.0 verfügbar

Melde dich kostenlos bei Silicon DE an

Erhalten Sie die neuesten IT-Nachrichten, Analysen, Funktionen und Interviews zu wichtigen Themen der Technologiebranche direkt in Ihren Posteingang. Neben unserer Expertenberichterstattung erhalten Sie auch andere nützliche Ressourcen wie Jobs, Whitepapers und Downloads. Melden Sie sich noch heute kostenlos an und informieren Sie sich über alle Aspekte der IT-Revolution.