Abo
  • Services:
Anzeige
Typo 3 hat eine XSS-Schwäche.
Typo 3 hat eine XSS-Schwäche. (Bild: Typo 3)

Sicherheitslücke: Typo3 ist per Cross-Site-Scripting angreifbar

Typo 3 hat eine XSS-Schwäche.
Typo 3 hat eine XSS-Schwäche. (Bild: Typo 3)

Das beliebte Content-Management-System Typo3 hat eine Schwachstelle. Angreifer können per Cross-Site-Scripting Code ausführen.

Anzeige

Webseitenbetreiber, die Typo3 in den Versionen 4.5, 6.2.0 bis 6.2.14 und 7.0.0 bis 7.3.0 einsetzen, sollten auf die Versionen 6.2.15 beziehungsweise 7.4.0 patchen. Erstere Versionen enthalten eine XSS-Lücke, über die Angreifer fremden Javascript-Code ausführen können.

Um die Sicherheitslücke auszunutzen, müssen Angreifer einen gefälschten Link zu einem Backend-Modul des Content-Management-Systems erstellen, das dann den Javascript-Payload enthält. Der Payload wird aktiviert, wenn ein berechtigter Nutzer mit Zugang zum entsprechenden Modul auf den Link klickt, und dann dazu verleitet wird, "auf ein bestimmtes HTML-Ziel" zu klicken. Typo3 in der Version 7.4.0 oder höher ist nicht angreifbar, weil die Software jeder URL automatisch ein dem Angreifer unbekanntes geheimes Token hinzufügt.

Die Schwäche mit der Nummer CVE-2015-5956 wurde von Julien Ahrens von der Secunet Security Networks AG entdeckt und an das Typo3-Projekt gemeldet.

eye home zur Startseite
Kommentarübersicht
Re: Der Fix ist genial ...
xUser 23. Sep 2015

Der Fix besteht ja auch darin, die Routine zum Entfernen von XSS anzupassen. Das mit dem...

Re: Unglaublich...
quadronom 23. Sep 2015

Meine Uni benutzt Typo3.... Funktioniert sogar irgendwie.

TYPO3
cephei 22. Sep 2015

nicht Typo3 News von vor 13 Tagen.

Anzeige
Stellenmarkt
  1. MVV EnergySolutions GmbH, Berlin
  2. W&W Informatik GmbH, Ludwigsburg
  3. Swyx Solutions AG, Dortmund
  4. AKDB Anstalt für kommunale Datenverarbeitung in Bayern, Regensburg
Anzeige
Hardware-Angebote
  1. auf Kameras und Objektive
  2. ab 799,90€
Folgen Sie uns
       
Videos
Yara Birkeland (Herstellerfirma) Yara Birkeland (Herstellerfirma)
Ticker
  1. Gnome

    Freiheit ist mehr als nur Code

  2. For Honor

    Samurai, Wikinger und Ritter bekommen dedizierte Server

  3. Smartphones

    Broadpwn-Lücke könnte drahtlosen Wurm ermöglichen

  4. Docsis 3.0

    Huawei erreicht 1,6 GBit/s mit altem Kabelnetzstandard

  5. Tasty One Top

    Buzzfeed stellt vernetzte Kochplatte vor

  6. Automated Valet Parking

    Lass das Parkhaus das Auto parken!

  7. Log-in-Allianz

    Prosieben, GMX und Zalando starten Single-Sign-on-Dienst

  8. Andreas Kaufmann

    Leica-Chef träumt vom eigenen Kamera-Smartphone

  9. Elektromobilität

    Porsche kommt in die Formel E

  10. Keylogger

    Arbeitgeber dürfen Mitarbeiter nicht generell ausspähen

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Computer
Computermuseum Stuttgart: Als Computer noch ganze Räume füllten
Computermuseum Stuttgart
Als Computer noch ganze Räume füllten
  1. Studio Wildcard Server-Neustart bei Ark Survival Evolved abgesagt
  2. Huawei Neue Rack- und Bladeserver für Azure Stack vorgestellt
  3. Android für PCs Jide stellt Remix OS ein
Microsoft Surface
Surface Laptop im Test: Microsofts Next Topmodel hat zu sehr abgespeckt
Surface Laptop im Test
Microsofts Next Topmodel hat zu sehr abgespeckt
  1. Microsoft Neues Surface Pro fährt sich ohne Grund selbst herunter
  2. iFixit-Teardown Surface Laptop ist fast nicht reparabel
  3. Surface Studio Microsofts Grafikerstation kommt nach Deutschland
Ikea
Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI
Forumsbeiträge »
  1. Quartalsbericht Amazons Gewinn bricht ein

    Re: Amazon macht alles richtig

    heidegger | 14:55

  2. Sysadmin Day 2017 Zum Admin-Sein fehlen mir die Superkräfte

    Re: Mach deinen Scheiß doch mal selbst.

    rldml | 14:53

  3. Tasty One Top Buzzfeed stellt vernetzte Kochplatte vor

    Re: Die Anwendung gibt beispielsweise Signale...

    MrAnderson | 14:53

  4. Nissan Leaf Geringer Reichweitenverlust durch alternden Akku

    Re: Kleine Akkus sind viel besser als Große!

    Dwalinn | 14:53

  5. Sysadmin Day 2017 Zum Admin-Sein fehlen mir die Superkräfte

    Re: Mehr Ausbildung als notwendig

    redmord | 14:53

Ticker »
  1. Gnome Freiheit ist mehr als nur Code

    14:02

  2. For Honor Samurai, Wikinger und Ritter bekommen dedizierte Server

    13:44

  3. Smartphones Broadpwn-Lücke könnte drahtlosen Wurm ermöglichen

    13:00

  4. Docsis 3.0 Huawei erreicht 1,6 GBit/s mit altem Kabelnetzstandard

    12:45

  5. Tasty One Top Buzzfeed stellt vernetzte Kochplatte vor

    12:29

  6. Automated Valet Parking Lass das Parkhaus das Auto parken!

    11:58

  7. Log-in-Allianz Prosieben, GMX und Zalando starten Single-Sign-on-Dienst

    11:47

  8. Andreas Kaufmann Leica-Chef träumt vom eigenen Kamera-Smartphone

    11:34

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel