Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Sicherheitslücke: Typo3 ist per Cross-Site-Scripting angreifbar

Das beliebte Content-Management-System Typo3 hat eine Schwachstelle. Angreifer können per Cross-Site-Scripting Code ausführen.
/ Hauke Gierow
20 Kommentare News folgen (öffnet im neuen Fenster)
Typo 3 hat eine XSS-Schwäche. (Bild: Typo 3)
Typo 3 hat eine XSS-Schwäche. Bild: Typo 3

Webseitenbetreiber, die Typo3 in den Versionen 4.5, 6.2.0 bis 6.2.14 und 7.0.0 bis 7.3.0 einsetzen, sollten auf die Versionen 6.2.15 beziehungsweise 7.4.0 patchen. Erstere Versionen enthalten eine XSS-Lücke, über die Angreifer fremden Javascript-Code ausführen können(öffnet im neuen Fenster) .

Um die Sicherheitslücke auszunutzen, müssen Angreifer einen gefälschten Link zu einem Backend-Modul des Content-Management-Systems erstellen, das dann den Javascript-Payload enthält. Der Payload wird aktiviert, wenn ein berechtigter Nutzer mit Zugang zum entsprechenden Modul auf den Link klickt, und dann dazu verleitet wird, "auf ein bestimmtes HTML-Ziel" zu klicken. Typo3 in der Version 7.4.0 oder höher ist nicht angreifbar, weil die Software jeder URL automatisch ein dem Angreifer unbekanntes geheimes Token hinzufügt.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Fachadministrator*in Zahlungsverkehr und Finanzsysteme IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
IT- SYSTEMADMINISTRATOR (M/W/D) VÖB-Service GmbH, Bonn,Homeoffice (öffnet im neuen Fenster)
Wirtschaftsinformatiker (m/w/d) Käthe Wohlfahrt KG, Rothenburg ob der Tauber (öffnet im neuen Fenster)
IT Spezialist (m/w/d) für Systemadministration und Support Gottlob Rommel Bauunternehmung GmbH & Co. KG, Stuttgart (öffnet im neuen Fenster)
Mitarbeiter*in (m/w/d) für digitale Softwareprüfung - Remote / Home-Office Wise Guys Consulting GmbH, Berlin (öffnet im neuen Fenster)
IT-Systemadministrator (m/w/d) alstria advisors GmbH, Hamburg (öffnet im neuen Fenster)
Junior AI Developer & Consultant (m/w/d) Helios Ventilatoren GmbH + Co KG, Villingen-Schwenningen (öffnet im neuen Fenster)
Key User, kaufmännischer Sachbearbeiter (Fachwirt Energiewirtschaft oder erfahrener Industriekaufmann o. ä.) Schwerpunkt Abrechnung (m/w/d) in der Energiewirtschaft - Stadtwerke Stadtwerke Speyer GmbH, Speyer (öffnet im neuen Fenster)

Die Schwäche mit der Nummer CVE-2015-5956 wurde von Julien Ahrens von der Secunet Security Networks AG entdeckt und an das Typo3-Projekt gemeldet.

Zur Startseite 20 Kommentare

Relevante Themen

SoftwareSecuritySicherheitslückeDatensicherheitApplikationenInternet