2016-0852: TYPO3 Extension: Zwei Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2016-05-27 17:55)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Beschreibung:

Durch Ausnutzen einer der Schwachstellen kann ein entfernter, einfach authentifizierter Angreifer über relative Pfadangaben auf beliebige Dateien lesend und schreibend zugreifen (Path Traversal) und dadurch Informationen ausspähen, Dateien manipulieren oder unter bestimmten Bedingungen beliebigen Programmcode ausführen. Eine weitere Schwachstelle erlaubt einem entfernten, nicht authentifizierten Angreifer die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs.

Über den TYPO3 Extension Manager steht ein Sicherheitsupdate für den "Formhandler" auf die Versionen 2.3.1 und 2.0.2 sowie für das "Media management" auf die Versionen 3.7.5 und 4.0.4 zur Verfügung. Die TYPO3 Erweiterungen sind nicht Teil der TYPO3 Standardinstallation.

Schwachstellen:

TYPO3-EXT-2016-011

Schwachstelle in TYPO3 Erweiterung "Formhandler" ermöglicht Cross-Site-Scripting

TYPO3-EXT-2016-012

Schwachstelle in TYPO3 Erweiterung "Media management" ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.