13.12.2007 13:41
Eine Systemerweiterung des Content-Management-Systems Typo3 lässt sich ausnutzen, um unautorisierten Zugriff auf die Datenbank zu erhalten. Damit könnte ein Angreifer Daten auslesen oder sogar manipulieren. Laut Fehlerbericht ist eine nicht näher beschriebene SQL-Injection-Lücke in indexed_search Ursache des Problems. Die Erweiterung ist Bestandteil einer Standardinstallation.
Die Schwachstelle soll sich nur ausnutzen lassen, wenn der Angreifer am Typo-Backend angemeldet ist – er muss aber keine Admin-Rechte besitzen. Betroffen sind Typo3 3.x, 4.0 to 4.0.7 und 4.1 bis einschließlich 4.1.3. In Version 4.1.4 und 4.0.8 ist die Lücke geschlossen.
Siehe dazu auch:
(dab)
English version: SQL injection vulnerability in Typo3 CMS
Themen-Forum Schwachstellen
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Permalink: http://heise.de/-170110
