Für TYPO3 wurde am vergangenen Dienstag, den 24. Mai 2016, ein wichtiges Sicherheitsupdate angekündigt. Betroffen sind alle Versionen ab 4.3.x – somit wird wie im offiziellen Blog beschrieben dazu geraten, betroffene Systeme auf die aktuellen Versionsstände 6.2.24, 7.6.8 oder 8.1.1 zu bringen.
Fehlende Zugriffsprüfung in TYPO3 Extbase
Es wurde festgestellt, dass der im System integrierte Extension Manager, welcher zur Verwaltung aller Plugins und Module dient, über eine Sicherheitslücke verfügt. Die fehlende Zugriffsprüfung bestimmter Anfragen an die controller/handler verschafft Angreifern, welche Zugang zu lediglich einem Plugin oder Modul benötigen die Möglichkeit, sämtliche Informationen offenzulegen oder schädliche Scripte in das System zu integrieren.
Die Sicherheitslücke wurde als kritisch eingestuft und erfordert einen unbedingten Handlungsbedarf.
