2016-1096: TYPO3 Extension: Zwei Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2016-07-07 18:57)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Beschreibung:

Zwei Schwachstellen in den Erweiterungen 'Page Path' (pagepath) und 'CCDebug' (cc_debug) von TYPO3 ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes und einen Cross-Site-Scripting-Angriff (XSS).

Für die Erweiterung 'CCDebug' steht die Version 1.0.1 als Sicherheitsupdate über den TYPO3-Extension-Manager und als direkter Download zur Verfügung. Die Erweiterung 'Page Path' ist in Version 1.0.3 und früher verwundbar, wird aber nicht mehr gepflegt. Hierfür werden keine Sicherheitsupdates zur Verfügung gestellt, diese Erweiterung sollte schnellstmöglich deaktiviert und gelöscht werden.

Schwachstellen:

TYPO3-EXT-SA-2016-019

Schwachstelle in TYPO3 Erweiterung 'CCDebug' ermöglicht Cross-Site-Scripting-Angriff

TYPO3-EXT-SA-2016-020

Schwachstelle in TYPO3 Erweiterung 'Page Path' ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.