Typo3 über XSS-Lücke verwundbar

In Typo3 klafft eine Schwachstelle, über die Angreifer JavaScript in das Content Management System schmuggeln können.

22

(Bild: typo3.org<br>)

21.09.2015, 13:00 Uhr

Lesezeit: 1 Min.

Security

Von

Dennis Schirrmacher

Mittels einer XSS-Lücke können Angreifer JavaScript in Typo3 ausführen. Davon betroffen sind alle älteren Versionen inklusive 4.5, 6.2.0 bis 6.2.14 und 7.0.0 bis 7.3.0. Die Versionen 6.2.15 und 7.4.0 enthalten einen Fix und sind ab sofort verfügbar.

Angreifer können Nutzer von verwundbaren Fassungen mit einem speziellen Link zu einem Backend-Modul austricksen und so JavaScript ausführen. Die abgedichteten Versionen enthalten in jeder URL einen Security Token, sodass der Exploit nicht mehr funktionieren soll.

Ein Mitarbeiter von der secunet Security Networks AG hat die Lücke entdeckt. Ob Angreifer die Schwachstelle ausnutzen ist nicht bekannt. Das Typo3-Team stuft das Angriffsrisiko als gering ein.

[UPDATE, 21.09.2015 14:45]

Beschreibung der betroffenen Versionen und des Fix angepasst. (des)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

Typo3 über XSS-Lücke verwundbar

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.