Fehler in Erweiterung des CMS Typo3 ermöglicht Manipulation der Datenbank [Update]
In der CMW-Linklist-Erweiterung des populären Content-Management-Systems TYPO3 wurde ein Fehler entdeckt, mit der Anwender eigene Befehle an die Datenbank übergeben können.
In der CMW-Linklist-Erweiterung des populären Content-Management-Systems TYPO3 wurde ein Fehler entdeckt. Anwender können aufgrund der unzureichenden Filterung des Parameters category_uid an die darunterliegende SQL-Datenbank eigene Befehle übergeben (SQL-Injection). Damit ist es unter Umständen möglich, vertrauliche Datenbankinhalte auszulesen oder zu manipulieren. Die Entwickler haben den Fehler im Modul in Version 1.4.2 beseitigt, das im T3X-Format zum Download bereit liegt. Alternativ lässt sich die Erweiterung über den Extension Manager updaten.
Update
Auf der Startseite von typo3.org ist mittlerweile ein eigenes Security Announcement zu dem Fehler erschienen. Darauf wird unter anderem darauf hingewiesen, dass die Erweiterung nicht Bestandteil von TYPO3 ist und auch keinem Review unterzogen wurde. Um allerdings die Wichtigkeit des Updates hervorzuheben, hat man nachträglich die Versionsnummer des Moduls von 1.4.2 auf 1.5 erhöht.
Siehe dazu auch: (dab)
- CMW Linklist 1.5 Beschreibung auf Typo3.org
- TYPO3 SQL Injection vulnerability Fehlermeldung auf Bugtraq
