Mehrere Sicherheitslücken in Typo gemeldet

Eine Reihe von Sicherheitslücken in Typo können von Angreifern zur Einspeisung von beliebigem SQL- und Scriptcode missbraucht werden.

Laut einer Meldung der Sicherheitsexperten von Secunia wurden die Schwachstellen in Version 5.1.3 von Typo nachgewiesen. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Die Ursache für die Sicherheitslücken ist die mangelhafte Bereinigung von Eingaben an verschiedene Parameter: Über „comment[author]“ und „comment[url]“ können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer Anwender einspeisen. Über den Parameter „search[published_at]“ können zudem SQL-Befehle in die Datenbank eines betroffenen Systems eingeschleust werden. Ein Patch steht bislang nicht zur Verfügung. (twi)