Mit den letzte Woche erschienen Updates für TYPO3 werden schwere Sicherheitslücken geschlossen, wir empfehlen unbedingt ein Update vorzunehmen!
Die Sicherheitslücken betreffen alle TYPO3 Versionen auch für ganz alte Versionen stehen Sicherheitspatches zur Verfügung.
Bei den Lücken handelt es sich um:
- Remote File Disclosure
Der jumpUrl-Mechanismus ist anfällig um beliebige Dateien herunterzuladen. - Cross-Site Scripting
Die Lücken sind jeweils im Backend, daher ist ein Backenduser notwendig. - Remote File Disclosure
Im Extension Manager wurde ebenfalls eine Lücke gefixt. - Privilege Escalation
In der Extension sys_action war es möglich, User mit anderen Benutzergruppen anzulegen - Denial of Service
Aufgrund eines Bugs in PHP war es möglich, eine Denial of Service Attacke über die Email-Validierung zu generieren. - Cross-Site Scripting
Eine weitere XSS-Attacke war über die RemoveXSS-Funktion möglich