Cross-Site-Scripting
Ältere Typo3-Versionen sind anfällig für Schadcode

Typo3 CMS, © TYPO3 Association
Typo3 CMS

Mehrere Versionen des freien Content Management Systems Typo3 weisen eine Sicherheitslücke auf, über die es Angreifern möglich ist, eigenen Javascript-Code auszuführen. Betroffen sind die Versionen 4.5, 6.2.0 bis 6.2.14 und 7.0.0 bis 7.3.0. Seitenbetreiber, die eine dieser Versionen nutzen, sollten ihr System zeitnah aktualisieren.

Angreifer benötigen allerdings die unwissentliche Mitwirkung eines berechtigten Nutzers. Den müssen sie dazu bringen, auf einen gefälschten Link zu einem Modul im Backend des CMS zu klicken und dann ein bestimmtes HTML-Ziel auszuwählen, um das Script zu starten. Die Versionen 6.2.15 und 7.4.0 des Content Management Systems weisen diese Lücke nicht mehr auf, weil sie ein geheimes Token an jede URL anhängen. (Quelle: Typo3/db)