Zahlreiche Typo3-Erweiterungen mit Schwachstellen
Mehrere Erweiterungen anderer Hersteller sind für SQL-Injection und Cross-Site-Scripting anfällig. Für die meisten steht ein Update bereit.
- Daniel Bachfeld
In einem Sammel-Advisory weisen die Entwickler des CMS Typo3 auf mehrere Sicherheitslücken in Erweiterungsmodulen anderer Hersteller hin. Demnach finden sich in Visitor Tracking (ws_stats), Userdata Create/Edit (sg_userdata) und Store Locator (locator) Cross-Site-Scripting-Lücken. Für SQL-Injection zeigen sich 21glossary Advanced Output (a21glossary_advanced_output), Store Locator (locator), Versatile Calendar Extension [VCE] (sk_calendar) und ultraCards (th_ultracards) anfällig.
Das Modul Directory Listing (dir_listing) weist eine Directory-Traversing-Schwachstelle auf und ClickStream Analyzer [output] verrät unter Umständen Informationen. Abgesehen von ClickStream Analyzer und Directory Listing (die beide aus dem Typo3-Repository gelöscht wurden) stehen für alle Erweiterungen Updates zu Verfügung.
Ein weiterer Bericht beschreibt eine weitere Lücke im Frontend User Registration (sr_feuser_register), durch die Anwender unter Umständen an die Informationen anderer Anwender, inklusive des Passworts, gelangen können. Ein Update auf Version 2.5.21 behebt das Problem.
Siehe dazu auch
- TYPO3 Collective Security Bulletin TYPO3-SA-2009-005: Several vulnerabilities in third party extensions, Bericht auf Typo3
- Information Disclosure in extension "Frontend User Registration" (sr_feuser_register), Bericht auf Typo3
(dab)
