Abo
  • Services:
Anzeige
Typo 3 hat eine XSS-Schwäche.
Typo 3 hat eine XSS-Schwäche. (Bild: Typo 3)

Sicherheitslücke: Typo3 ist per Cross-Site-Scripting angreifbar

Typo 3 hat eine XSS-Schwäche.
Typo 3 hat eine XSS-Schwäche. (Bild: Typo 3)

Das beliebte Content-Management-System Typo3 hat eine Schwachstelle. Angreifer können per Cross-Site-Scripting Code ausführen.

Anzeige

Webseitenbetreiber, die Typo3 in den Versionen 4.5, 6.2.0 bis 6.2.14 und 7.0.0 bis 7.3.0 einsetzen, sollten auf die Versionen 6.2.15 beziehungsweise 7.4.0 patchen. Erstere Versionen enthalten eine XSS-Lücke, über die Angreifer fremden Javascript-Code ausführen können.

Um die Sicherheitslücke auszunutzen, müssen Angreifer einen gefälschten Link zu einem Backend-Modul des Content-Management-Systems erstellen, das dann den Javascript-Payload enthält. Der Payload wird aktiviert, wenn ein berechtigter Nutzer mit Zugang zum entsprechenden Modul auf den Link klickt, und dann dazu verleitet wird, "auf ein bestimmtes HTML-Ziel" zu klicken. Typo3 in der Version 7.4.0 oder höher ist nicht angreifbar, weil die Software jeder URL automatisch ein dem Angreifer unbekanntes geheimes Token hinzufügt.

Die Schwäche mit der Nummer CVE-2015-5956 wurde von Julien Ahrens von der Secunet Security Networks AG entdeckt und an das Typo3-Projekt gemeldet.

eye home zur Startseite
Kommentarübersicht
Re: Der Fix ist genial ...
xUser 23. Sep 2015

Der Fix besteht ja auch darin, die Routine zum Entfernen von XSS anzupassen. Das mit dem...

Re: Unglaublich...
quadronom 23. Sep 2015

Meine Uni benutzt Typo3.... Funktioniert sogar irgendwie.

TYPO3
cephei 22. Sep 2015

nicht Typo3 News von vor 13 Tagen.

Anzeige
Stellenmarkt
  1. ETAS GmbH, Stuttgart
  2. Wirecard Communication Services GmbH, Leipzig
  3. über Hays AG, Nordrhein-Westfalen
  4. MIWE Michael Wenz GmbH, Arnstein
Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. 49,99€ mit Vorbesteller-Preisgarantie
  3. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
Folgen Sie uns
       
Videos
Gran Turismo Sport - Opening-Trailer Gran Turismo Sport - Opening-Trailer
Ticker
  1. Datenrate

    Kunden wollen schnelle Internetzugänge

  2. Essential Phone im Test

    Das essenzielle Android-Smartphone hat ein Problem

  3. Pixel Visual Core

    Googles eigener ISP macht HDR+ schneller

  4. TK-Marktstudie

    Telekom kann ihre Glasfaseranschlüsse nur schwer verkaufen

  5. Messenger

    Whatsapp lässt Aufenthaltsort über längere Zeiträume teilen

  6. ZBook x2

    HPs mobile Workstation macht Wacom und Surface Konkurrenz

  7. Krack-Angriff

    Kein Grund zur Panik

  8. Electronic Arts

    Entwicklungsneustart für Star Wars Ragtag

  9. EU-Urheberrechtsreform

    Streit über Uploadfilter und Grundrechte

  10. Netzneutralität

    Warum die Telekom mit Stream On noch scheitern könnte

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Elektroauto
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter
Secure Socket Layer
Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind
Zotac
Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner
Forumsbeiträge »
  1. Krack-Angriff Kein Grund zur Panik

    Re: Kleinreden ist Verteidigung der Hersteller

    bombinho | 13:43

  2. Malware Pornhub verteilte monatelang Fake-Browserupdates

    Re: Mit Adblocker wär das nicht passiert

    lottikarotti | 13:42

  3. Essential Phone im Test Das essenzielle Android-Smartphone hat ein Problem

    Update Garantie

    Dummer Mensch | 13:41

  4. Netzneutralität Warum die Telekom mit Stream On noch scheitern könnte

    Re: ist aber so

    RipClaw | 13:41

  5. Datenrate Kunden wollen schnelle Internetzugänge

    1&1 und Ausbau

    DonKamillentee | 13:40

Ticker »
  1. Datenrate Kunden wollen schnelle Internetzugänge

    12:56

  2. Essential Phone im Test Das essenzielle Android-Smartphone hat ein Problem

    12:01

  3. Pixel Visual Core Googles eigener ISP macht HDR+ schneller

    11:48

  4. TK-Marktstudie Telekom kann ihre Glasfaseranschlüsse nur schwer verkaufen

    11:21

  5. Messenger Whatsapp lässt Aufenthaltsort über längere Zeiträume teilen

    11:09

  6. ZBook x2 HPs mobile Workstation macht Wacom und Surface Konkurrenz

    11:01

  7. Krack-Angriff Kein Grund zur Panik

    10:48

  8. Electronic Arts Entwicklungsneustart für Star Wars Ragtag

    10:46

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel