Hoch kritisch

Gefährliche Sicherheitslücke in TYPO3 geschlossen

Die Entwickler der beliebten CMS-Software TYPO3 haben eine wichtige Sicherheits-Aktualisierung ausgegeben.

Die Schwachstelle in TYPO3 lässt sich ausnutzen, um unerlaubten Systemzugriff zu ergaunern. Eingaben in de Parameter "BACK_PATH" in der Datei typo3/sysext/workspaces/Classes/Controller/AbstractController.php wird nicht ausreichend überprüft, bevor diese in Include-Dateien verwendet werden. Somit lassen sich unter Umständen beliebige Dateien aus beliebigen Quellen einbinden.

Ein erfolgreicher Angriff setzt allerdings voraus, dass "register_globals" aktiviert ist. Die Schwachstelle ist als hoch kritisch eingestuft und für Version 4.6.1 bestätigt. Vorgänger-Versionen könnten ebenfalls betroffen sein. Die Entwickler raten zu einem Update auf Version 4.6.2: typo3.org (jdo)