2014-1205: TYPO3 Extension: Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Progammcodes
Historie:
- Version 1 (2014-09-12 17:56)
- Neues Advisory
Betroffene Software
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in verschiedenen TYPO3 System Erweiterungen ermöglichen es einem entfernten und zumeist nicht authentisierten Angreifer beliebigen Programmcode oder beliebige SQL-Befehle zur Ausführung zu bringen, Cross-Site-Scripting-Angriffe durchzuführen und Informationen auszuspähen.
Für die von den Schwachstellen CVE-2014-6231, CVE-2014-6232, CVE-2014-6233, CVE-2014-6234, CVE-2014-6235, CVE-2014-6236, CVE-2014-6239 und CVE-2014-6241betroffenen Produkte hat der Hersteller Sicherheitsupdates bereitgestellt.
Für die von den Schwachstellen CVE-2014-6237, CVE-2014-6238, und CVE-2014-6240 betroffenen Produkte existieren keine Sicherheitsupdates. Der Hersteller bietet diese Produkte auf seiner Webseite nicht mehr zum Download an und empfiehlt bestehende Installationen zu deinstallieren oder zu entfernen.
Schwachstellen:
CVE-2014-6231
Schwachstelle "CWT Frontend Edit" erlaubt die Ausführung beliebigen ProgrammcodesCVE-2014-6232
Schwachstelle in der TYPO3 Extension "LDAP" erlaubt das Ausspähen von InformationenCVE-2014-6233
Schwachstelle in der System-Extension "Flat Manager" ermöglicht SQL-InjectionCVE-2014-6234
Cross-Site-Scripting-Schwachstelle in "Open Graph protocol"CVE-2014-6235
Schwachstelle in "ke DomPDF" erlaubt die Ausführung beliebigen ProgrammcodesCVE-2014-6236
Schwachstelle in "LumoNet-PHP-Include"CVE-2014-6237
Schwachstelle in "News Pack"CVE-2014-6238
Cross-Site-Scripting-Schwachstelle in "SB-Folderdownload"CVE-2014-6239
Schwachstelle in "Google Maps visualization "ermöglicht SQL-InjectionCVE-2014-6240
Cross-Site-Scripting-Schwachstelle in der System-Extension "Google Sitemap"CVE-2014-6241
Schwachstelle in "wt_directory" ermöglicht SQL-Injection
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.