• IT-Karriere:
  • Services:

Sicherheitslücke: Typo3 ist per Cross-Site-Scripting angreifbar

Das beliebte Content-Management-System Typo3 hat eine Schwachstelle. Angreifer können per Cross-Site-Scripting Code ausführen.

Artikel veröffentlicht am ,
Typo 3 hat eine XSS-Schwäche.
Typo 3 hat eine XSS-Schwäche. (Bild: Typo 3)

Webseitenbetreiber, die Typo3 in den Versionen 4.5, 6.2.0 bis 6.2.14 und 7.0.0 bis 7.3.0 einsetzen, sollten auf die Versionen 6.2.15 beziehungsweise 7.4.0 patchen. Erstere Versionen enthalten eine XSS-Lücke, über die Angreifer fremden Javascript-Code ausführen können.

Stellenmarkt
  1. RENNER GmbH Kompressoren, Güglingen
  2. Protagen Protein Services GmbH, Heilbronn,Dortmund

Um die Sicherheitslücke auszunutzen, müssen Angreifer einen gefälschten Link zu einem Backend-Modul des Content-Management-Systems erstellen, das dann den Javascript-Payload enthält. Der Payload wird aktiviert, wenn ein berechtigter Nutzer mit Zugang zum entsprechenden Modul auf den Link klickt, und dann dazu verleitet wird, "auf ein bestimmtes HTML-Ziel" zu klicken. Typo3 in der Version 7.4.0 oder höher ist nicht angreifbar, weil die Software jeder URL automatisch ein dem Angreifer unbekanntes geheimes Token hinzufügt.

Die Schwäche mit der Nummer CVE-2015-5956 wurde von Julien Ahrens von der Secunet Security Networks AG entdeckt und an das Typo3-Projekt gemeldet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Death Stranding für 39,99€, Bloodstained: Ritual of the Night für 17,99€, Journey to...
  2. 25,99€
  3. 8,50€
  4. 34,99€

xUser 23. Sep 2015

Der Fix besteht ja auch darin, die Routine zum Entfernen von XSS anzupassen. Das mit dem...

quadronom 23. Sep 2015

Meine Uni benutzt Typo3.... Funktioniert sogar irgendwie.

cephei 22. Sep 2015

nicht Typo3 News von vor 13 Tagen.


Folgen Sie uns
       


    •  /