Typo3 unter Beschuss: Angreifer können Kontrolle übernehmen

Der Grund für das Leck: Die Datei AbstractController.php im Verzeichnis typo3/sysext/workspaces/Classes/Controller unterzieht den Parameter BACK_PATH keiner ausreichenden Kontrolle. Das macht eine so genannte Remote File Inclusion möglich.

Betroffenen Administratoren wird geraten entweder auf Version 4.5.9 oder 4.6.2 umzusteigen, mindestens eine der Variablen register_globals, allow_url_include und allow_url_fopen auszuschalten, den bereitgestellten Patch zu installieren oder eine entsprechende Regel in der mod_security-Firewall einzurichten. Details dazu und Download-Möglichkeiten gibt es auf typo3.org