06.04.2009 13:51
In einem Sammel-Advisory weisen die Entwickler des CMS Typo3 auf mehrere Sicherheitslücken in Erweiterungsmodulen anderer Hersteller hin. Demnach finden sich in Visitor Tracking (ws_stats), Userdata Create/Edit (sg_userdata) und Store Locator (locator) Cross-Site-Scripting-Lücken. Für SQL-Injection zeigen sich 21glossary Advanced Output (a21glossary_advanced_output), Store Locator (locator), Versatile Calendar Extension [VCE] (sk_calendar) und ultraCards (th_ultracards) anfällig.
Das Modul Directory Listing (dir_listing) weist eine Directory-Traversing-Schwachstelle auf und ClickStream Analyzer [output] verrät unter Umständen Informationen. Abgesehen von ClickStream Analyzer und Directory Listing (die beide aus dem Typo3-Repository gelöscht wurden) stehen für alle Erweiterungen Updates zu Verfügung.
Ein weiterer Bericht beschreibt eine weitere Lücke im Frontend User Registration (sr_feuser_register), durch die Anwender unter Umständen an die Informationen anderer Anwender, inklusive des Passworts, gelangen können. Ein Update auf Version 2.5.21 behebt das Problem.
Siehe dazu auch
(Daniel Bachfeld)
/
(dab)
Themen-Forum Schwachstellen
Version zum Drucken | Per E-Mail versenden | Newsletter abonnieren
Permalink: http://heise.de/-211743
Mehr zum Thema Typo3 Sicherheitslücke
