TYPO3-Module ermöglichen SQL-Injection und Cross-Site-Scripting

Die Entwickler der Zusatzmodule kj_imagelightbox2 und sg_zfelib für das quelloffene Content-Management-System TYPO3 haben Sicherheitslücken abgedichtet, durch die Angreifer SQL-Befehle einschleusen oder Cross-Site-Scripting-Angriffe ausführen konnten. Die Module werden von Drittherstellern angeboten und gehören nicht zur TYPO3-Standardinstallation.

Die Library for Frontend plugins (sg_zfelib) filtert Benutzereingaben nicht und ermöglicht dadurch das Einschleusen von SQL-Befehlen, durch die Angreifer Lesezugriff auf die Datenbank erhalten können. Die sg_zfelib stellt Funktionen für weitere Bibliotheken bereit, die dadurch ebenfalls die Schwachstelle aufweisen. Die TYPO3-Entwickler nennen als Beispiele die Zusatzkomponenten

• sg_newsplus,
• sg_address,
• sg_avmedia,
• sg_event,
• sg_genealogy,
• sg_glossary,
• sg_newsletter,
• sg_prodprom,
• sg_smallads,
• sg_userdata,
• sg_filelist und
• sg_dictionary.

Auch die Erweiterung KJ: Image Lightbox v2 (kj_imagelightbox2) filtert Benutzereingaben nicht und ermöglicht so Cross-Site-Scripting-Angriffe. Für beide Module haben die Entwickler aktualisierte Software-Versionen bereitgestellt, die Nutzer der Plugins schnellstmöglich herunterladen und einspielen sollten.

Siehe dazu auch:

• Cross Site Scripting vulnerability in extension "KJ: Image Lightbox v2" (kj_imagelightbox2), Sicherheitsmeldung der TYPO3-Entwickler
• SQL Injection in extension "Library for Frontend plugins" (sg_zfelib), Fehlerbericht der TYPO3-Entwickler
• Download der aktualisierten Version von kj_imagelightbox2
• Download der aktualisierten Version von sg_zfelib

(sg) / (dmk/c't)