SQL-Injection-Lücke in CMS Typo3

Eine Systemerweiterung des Content-Management-Systems Typo3 lässt sich ausnutzen, um unautorisierten Zugriff auf die Datenbank zu erhalten. Allerdings muss ein Angreifer dafür am CMS-Backend angemeldet sein.

In Pocket speichern vorlesen Druckansicht 60 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Eine Systemerweiterung des Content-Management-Systems Typo3 lässt sich ausnutzen, um unautorisierten Zugriff auf die Datenbank zu erhalten. Damit könnte ein Angreifer Daten auslesen oder sogar manipulieren. Laut Fehlerbericht ist eine nicht näher beschriebene SQL-Injection-Lücke in indexed_search Ursache des Problems. Die Erweiterung ist Bestandteil einer Standardinstallation.

Die Schwachstelle soll sich nur ausnutzen lassen, wenn der Angreifer am Typo-Backend angemeldet ist – er muss aber keine Admin-Rechte besitzen. Betroffen sind Typo3 3.x, 4.0 to 4.0.7 und 4.1 bis einschließlich 4.1.3. In Version 4.1.4 und 4.0.8 ist die Lücke geschlossen.

Siehe dazu auch:

(dab)