Abo
  • Services:
Anzeige
Typo 3 hat eine XSS-Schwäche.
Typo 3 hat eine XSS-Schwäche. (Bild: Typo 3)

Sicherheitslücke: Typo3 ist per Cross-Site-Scripting angreifbar

Typo 3 hat eine XSS-Schwäche.
Typo 3 hat eine XSS-Schwäche. (Bild: Typo 3)

Das beliebte Content-Management-System Typo3 hat eine Schwachstelle. Angreifer können per Cross-Site-Scripting Code ausführen.

Anzeige

Webseitenbetreiber, die Typo3 in den Versionen 4.5, 6.2.0 bis 6.2.14 und 7.0.0 bis 7.3.0 einsetzen, sollten auf die Versionen 6.2.15 beziehungsweise 7.4.0 patchen. Erstere Versionen enthalten eine XSS-Lücke, über die Angreifer fremden Javascript-Code ausführen können.

Um die Sicherheitslücke auszunutzen, müssen Angreifer einen gefälschten Link zu einem Backend-Modul des Content-Management-Systems erstellen, das dann den Javascript-Payload enthält. Der Payload wird aktiviert, wenn ein berechtigter Nutzer mit Zugang zum entsprechenden Modul auf den Link klickt, und dann dazu verleitet wird, "auf ein bestimmtes HTML-Ziel" zu klicken. Typo3 in der Version 7.4.0 oder höher ist nicht angreifbar, weil die Software jeder URL automatisch ein dem Angreifer unbekanntes geheimes Token hinzufügt.

Die Schwäche mit der Nummer CVE-2015-5956 wurde von Julien Ahrens von der Secunet Security Networks AG entdeckt und an das Typo3-Projekt gemeldet.

eye home zur Startseite
Kommentarübersicht
Re: Der Fix ist genial ...
xUser 23. Sep 2015

Der Fix besteht ja auch darin, die Routine zum Entfernen von XSS anzupassen. Das mit dem...

Re: Unglaublich...
quadronom 23. Sep 2015

Meine Uni benutzt Typo3.... Funktioniert sogar irgendwie.

TYPO3
cephei 22. Sep 2015

nicht Typo3 News von vor 13 Tagen.

Anzeige
Stellenmarkt
  1. über Gfeller Consulting & Partner AG, Region Schaffhausen (Schweiz)
  2. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
  3. Bundesinstitut für Risikobewertung, Berlin
  4. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck
Anzeige
Top-Angebote
  1. (50% Rabatt!)
  2. 219,00€ (Bestpreis!)
  3. (u. a. Gear VR 66,00€, Gear S3 277,00€)
Folgen Sie uns
       
Videos
Huawei Matebook X und E - Hands On Huawei Matebook X und E - Hands On
Ticker
  1. Komplett-PC

    In Nvidias Battleboxen steckt AMDs Ryzen

  2. Internet

    Cloudflare macht IPv6 parallel zu IPv4 jetzt Pflicht

  3. Square Enix

    Neustart für das Final Fantasy 7 Remake

  4. Agesa 1006

    Ryzen unterstützt DDR4-4000

  5. Telekom Austria

    Nokia erreicht 850 MBit/s im LTE-Netz

  6. Star Trek Bridge Crew im Test

    Festgetackert im Holodeck

  7. Quantenalgorithmen

    "Morgen könnte ein Physiker die Quantenmechanik widerlegen"

  8. Astra

    ZDF bleibt bis zum Jahr 2020 per Satellit in SD verfügbar

  9. Kubic

    Opensuse startet Projekt für Container-Plattform

  10. Frühstart

    Kabelnetzbetreiber findet keine Modems für Docsis 3.1

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Sphero
Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen
Quantenkonferenz
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter
Dell XPS 13
XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Asus B9440 im Test Leichtes Geschäftsnotebook liefert zu wenig Business
Forumsbeiträge »
  1. Hate Speech Facebook wehrt sich gegen Gesetz gegen Hass im Netz

    Re: "Hass im Netz" klingt nach Zensur für mich

    F4yt | 19:31

  2. Quantenalgorithmen "Morgen könnte ein Physiker die Quantenmechanik widerlegen"

    Re: Widerlegen?

    Bujin | 19:30

  3. Quantenalgorithmen "Morgen könnte ein Physiker die Quantenmechanik widerlegen"

    Und bei der Überschrift dachte ich mir schon ...

    __destruct() | 19:29

  4. Cortex-A75 ARM bringt CPU-Kern für Windows-10-Geräte

    Re: Arm-Windows mit x86 Emulator?

    nille02 | 19:29

  5. Komplett-PC In Nvidias Battleboxen steckt AMDs Ryzen

    Chipsätze nie angeboten???

    ldlx | 19:24

Ticker »
  1. Komplett-PC In Nvidias Battleboxen steckt AMDs Ryzen

    18:08

  2. Internet Cloudflare macht IPv6 parallel zu IPv4 jetzt Pflicht

    17:37

  3. Square Enix Neustart für das Final Fantasy 7 Remake

    16:55

  4. Agesa 1006 Ryzen unterstützt DDR4-4000

    16:46

  5. Telekom Austria Nokia erreicht 850 MBit/s im LTE-Netz

    16:06

  6. Star Trek Bridge Crew im Test Festgetackert im Holodeck

    16:00

  7. Quantenalgorithmen "Morgen könnte ein Physiker die Quantenmechanik widerlegen"

    14:21

  8. Astra ZDF bleibt bis zum Jahr 2020 per Satellit in SD verfügbar

    13:56

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel