TYPO3-Module ermöglichen SQL-Injection und Cross-Site-Scripting
In Modulen von Drittherstellern für das Content-Management-System TYPO3 haben die Entwickler Sicherheitslücken gestopft, durch die Angreifer mittels SQL-Injection auf die Datenbank zugreifen oder Cross-Site-Scripting-Angriffe ausführen konnten.
Die Entwickler der Zusatzmodule kj_imagelightbox2 und sg_zfelib für das quelloffene Content-Management-System TYPO3 haben Sicherheitslücken abgedichtet, durch die Angreifer SQL-Befehle einschleusen oder Cross-Site-Scripting-Angriffe ausführen konnten. Die Module werden von Drittherstellern angeboten und gehören nicht zur TYPO3-Standardinstallation.
Die Library for Frontend plugins (sg_zfelib) filtert Benutzereingaben nicht und ermöglicht dadurch das Einschleusen von SQL-Befehlen, durch die Angreifer Lesezugriff auf die Datenbank erhalten können. Die sg_zfelib stellt Funktionen für weitere Bibliotheken bereit, die dadurch ebenfalls die Schwachstelle aufweisen. Die TYPO3-Entwickler nennen als Beispiele die Zusatzkomponenten
- sg_newsplus,
- sg_address,
- sg_avmedia,
- sg_event,
- sg_genealogy,
- sg_glossary,
- sg_newsletter,
- sg_prodprom,
- sg_smallads,
- sg_userdata,
- sg_filelist und
- sg_dictionary.
Auch die Erweiterung KJ: Image Lightbox v2 (kj_imagelightbox2) filtert Benutzereingaben nicht und ermöglicht so Cross-Site-Scripting-Angriffe. Für beide Module haben die Entwickler aktualisierte Software-Versionen bereitgestellt, die Nutzer der Plugins schnellstmöglich herunterladen und einspielen sollten.
Siehe dazu auch:
- Cross Site Scripting vulnerability in extension "KJ: Image Lightbox v2" (kj_imagelightbox2), Sicherheitsmeldung der TYPO3-Entwickler
- SQL Injection in extension "Library for Frontend plugins" (sg_zfelib), Fehlerbericht der TYPO3-Entwickler
- Download der aktualisierten Version von kj_imagelightbox2
- Download der aktualisierten Version von sg_zfelib
(dmk)