Zusatzmodule für TYPO3 weisen schwere Sicherheitslücken auf

In zwei Zusatzmodulen von TYPO3 sind Schwachstellen aufgetaucht, über die Angreifer Datenbankbefehle einschleusen (SQL-Injection) oder Cross-Site-Scripting-Attacken (XSS) starten können. Die von Drittherstellern angebotetenen Zusatzmodule gehören nicht zur Standardinstallation des freien CMS. In sg_zfelib wird durch ungefilterte Benutzereingaben die Infiltration von SQL-Befehlen ermöglicht, so dass Angreifer in der Datenbank lesen können. Da die Erweiterung auch für andere Bibliotheken Funktionen bereitstellt, ist die Lücke auch dort vorhanden. Im Fehlerbericht gibt es eine Übersicht der betroffenen Zusatzkomponenten. In kj_imagelightbox2 sind ungefilterte Benutzereingaben für eine Cross-Site-Scripting-Lücke verantwortlich. Sowohl für sg_zfelib, als auch kj_imagelightbox2 stehen fehlerbereinigte Updates zum Download bereit.

0 Kommentar(e)

Zum Posten von Kommentaren bitte