Menü

Zahlreiche Typo3-Erweiterungen mit Schwachstellen

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 211 Beiträge
Von

In einem Sammel-Advisory weisen die Entwickler des CMS Typo3 auf mehrere Sicherheitslücken in Erweiterungsmodulen anderer Hersteller hin. Demnach finden sich in Visitor Tracking (ws_stats), Userdata Create/Edit (sg_userdata) und Store Locator (locator) Cross-Site-Scripting-Lücken. Für SQL-Injection zeigen sich 21glossary Advanced Output (a21glossary_advanced_output), Store Locator (locator), Versatile Calendar Extension [VCE] (sk_calendar) und ultraCards (th_ultracards) anfällig.

Das Modul Directory Listing (dir_listing) weist eine Directory-Traversing-Schwachstelle auf und ClickStream Analyzer [output] verrät unter Umständen Informationen. Abgesehen von ClickStream Analyzer und Directory Listing (die beide aus dem Typo3-Repository gelöscht wurden) stehen für alle Erweiterungen Updates zu Verfügung.

Ein weiterer Bericht beschreibt eine weitere Lücke im Frontend User Registration (sr_feuser_register), durch die Anwender unter Umständen an die Informationen anderer Anwender, inklusive des Passworts, gelangen können. Ein Update auf Version 2.5.21 behebt das Problem.

Siehe dazu auch

(Daniel Bachfeld) / (dab)