Typo3 über XSS-Lücke verwundbar
In Typo3 klafft eine Schwachstelle, über die Angreifer JavaScript in das Content Management System schmuggeln können.
Mittels einer XSS-Lücke können Angreifer JavaScript in Typo3 ausführen. Davon betroffen sind alle älteren Versionen inklusive 4.5, 6.2.0 bis 6.2.14 und 7.0.0 bis 7.3.0. Die Versionen 6.2.15 und 7.4.0 enthalten einen Fix und sind ab sofort verfügbar.
Angreifer können Nutzer von verwundbaren Fassungen mit einem speziellen Link zu einem Backend-Modul austricksen und so JavaScript ausführen. Die abgedichteten Versionen enthalten in jeder URL einen Security Token, sodass der Exploit nicht mehr funktionieren soll.
Ein Mitarbeiter von der secunet Security Networks AG hat die Lücke entdeckt. Ob Angreifer die Schwachstelle ausnutzen ist nicht bekannt. Das Typo3-Team stuft das Angriffsrisiko als gering ein.
[UPDATE, 21.09.2015 14:45]
Beschreibung der betroffenen Versionen und des Fix angepasst. (des)