Die Version 4.2.3 des Content Management System Typo3 beseitigt zwei Cross-Site-Scripting-Schwachstellen, durch die Angreifer Anwendern JavaScripts unterschieben und im Kontext der Typo3-Site ausführen können. Üblicherweise lassen sich auf diese Weise Zugangsdaten stehlen. Die Fehler finden sich in der Systemerweiterung felogin und dem Backend-Module file.

Hinweis:
Die beschriebenen Sicherheitslücken beteffen nur die Module file und felogin der TYPO3 Version 4.2.x Nutzer der TYPO3 Version 4.1.7 sind hiervon nicht betroffen. D.h. wenn die Module nicht benutzt bzw. installiert worden sind liegt keine Gefahr vor.

Hinweis für unsere TYPO3 Hosting-Kunden:
Im Rahmen unserer Zero-Day Updates werden alle relevanten TYPO3 Installationen aktualisiert und die betroffenen Kunden informiert. Sollten Sie Probleme im Rahmen mit den Updates haben, wenden Sie sich bitte an die bekannten Rufnummern oder an support(at)web-vision.de

Quelle: http://news.typo3.org/news/article/cross-site-scripting-vulnerabilities-in-typo3-core/