2016-0287: TYPO3: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen SQL-Codes und Cross-Site-Scripting-Angriffe
Historie:
- Version 1 (2016-02-17 14:54)
- Neues Advisory
Betroffene Software
Server
Betroffene Plattformen
Beschreibung:
Zwei Schwachstellen ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes über eine SQL-Injection und einen Cross-Site-Scripting-Angriff mit Hilfe von Formulareingaben. Zwei weitere Schwachstellen ermöglichen einem entfernten, einfach authentifizierten Angreifer weitere Cross-Site-Scripting-Angriffe.
Die Schwachstellen werden in der TYPO3 Version 6.2.18 vom Hersteller behoben. Der Cross-Site-Scripting-Angriff, der in TYPO3-CORE-SA-2016-002 beschrieben wird, betrifft auch die Programmversion 7 und wird dort in TYPO3 Version 7.6.3 behoben.
Schwachstellen:
TYPO3-CORE-SA-2016-001
Schwachstelle in TYPO3-Erweiterung 'dbal' ermöglicht SQL-InjectionTYPO3-CORE-SA-2016-002
Schwachstelle in TYPO3 ermöglicht Cross-Site-Scripting-AngriffTYPO3-CORE-SA-2016-003
Schwachstelle in TYPO3 ermöglicht Cross-Site-Scripting-AngriffTYPO3-CORE-SA-2016-004
Schwachstelle in TYPO3 ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.