Kourtis Internet Solutions
KOURTIS INTERNET SOLUTIONS

Sicherheitslücke in phpMyAdmin-Erweiterung von Typo3 – Update sorgt für Sicherheit

1. September 2008 – 23:11 Uhr

Über eine Schwachstelle in der phpMyAdmin Erweiterung für das Content Management System Typo3 ist es für einen Angreifer möglich, per XSS (Cross Site Scripting) beliebigen HTML- und Skript-Code in das System einzuspeisen.

Die Schwachstelle tritt in der Version 3.0.1 der Erweiterung und in ihren Vorgängern auf und liegt vermutlich in der ungenügenden Bereinigung von Eingaben an verschiedenen Stellen begründet. Durch eine gezielte Manipulation solcher Eingaben kann ein Angreifer beliebigen HTML oder Skript-Code in die Sitzungen anderer Typo3 Anwender einschleusen.

Sicherheit bietet die neueste Version der Erweiterung – 3.2.0 – welche online verfügbar ist.

Die aktualisierte Version des PlugIns ist über den in Typo3 integrierten Extension Manager (EM) installierbar, der Teil der administrativen Umgebung ist.