Sicherheitslücke: Typo3 ist per Cross-Site-Scripting angreifbar

Das beliebte Content-Management-System Typo3 hat eine Schwachstelle. Angreifer können per Cross-Site-Scripting Code ausführen.

Artikel veröffentlicht am ,
Typo 3 hat eine XSS-Schwäche.
Typo 3 hat eine XSS-Schwäche. (Bild: Typo 3)

Webseitenbetreiber, die Typo3 in den Versionen 4.5, 6.2.0 bis 6.2.14 und 7.0.0 bis 7.3.0 einsetzen, sollten auf die Versionen 6.2.15 beziehungsweise 7.4.0 patchen. Erstere Versionen enthalten eine XSS-Lücke, über die Angreifer fremden Javascript-Code ausführen können.

Stellenmarkt
  1. IT-Retail Spezialist (m/w/d)
    dennree GmbH, Töpen (Raum Hof / Oberfranken), Großostheim, Garching bei München, Berlin
  2. IT Specialist Cloud Smart Services (w/m/d)
    TRUMPF Laser GmbH, Schramberg
Detailsuche

Um die Sicherheitslücke auszunutzen, müssen Angreifer einen gefälschten Link zu einem Backend-Modul des Content-Management-Systems erstellen, das dann den Javascript-Payload enthält. Der Payload wird aktiviert, wenn ein berechtigter Nutzer mit Zugang zum entsprechenden Modul auf den Link klickt, und dann dazu verleitet wird, "auf ein bestimmtes HTML-Ziel" zu klicken. Typo3 in der Version 7.4.0 oder höher ist nicht angreifbar, weil die Software jeder URL automatisch ein dem Angreifer unbekanntes geheimes Token hinzufügt.

Die Schwäche mit der Nummer CVE-2015-5956 wurde von Julien Ahrens von der Secunet Security Networks AG entdeckt und an das Typo3-Projekt gemeldet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Aktuell auf der Startseite von Golem.de
3D-Druck-Messe Formnext 2021
Raus aus der Nische

3D-Druck wird immer schneller, schöner und effizienter. Die Technologie ist dabei, die Produktion zu revolutionieren und in unseren Alltag einzuziehen.
Ein Bericht von Elias Dinter

3D-Druck-Messe Formnext 2021: Raus aus der Nische
Artikel
  1. K|Lens One: Erstes Lichtfeldobjektiv für Spiegelreflexkameras entwickelt
    K|Lens One
    Erstes Lichtfeldobjektiv für Spiegelreflexkameras entwickelt

    Das Spin-off eines Max-Planck-Instituts hat ein Lichtfeldobjektiv für herkömmliche DSLRs entwickelt. Auf Kickstarter kann es unterstützt werden.

  2. Zu wenig Triebwerke: Musk warnt vor SpaceX-Pleite
    Zu wenig Triebwerke
    Musk warnt vor SpaceX-Pleite

    Elon Musk sieht sich der nächsten "Produktionshölle" ausgesetzt. Diese Mal stockt die Fertigung im Raumfahrtunternehmen SpaceX.

  3. Fleet: Jetbrains bringt neuen leichtgewichtigen Editor
    Fleet
    Jetbrains bringt neuen leichtgewichtigen Editor

    Die IDE-Spezialisten von Jetbrains reagieren auf den Druck durch Visual Studio Code. Zudem gibt es nun Remote-Entwicklung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Crucial-SSDs zu Bestpreisen • Nur noch heute: Bis zu 75% auf Switch-Spiele • Gaming-Sale bei MM • G.Skill 64GB Kit 3800MHz 319€ • Bis zu 300€ Direktabzug auf TVs, Laptops uvm. • WD MyBook ext. HDD 18TB 329€ • Alternate (u. a. Biostar Mainboard 64,90€) • Xbox Series S 275,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /