RSS Feed
Nachrichten
Mar
8
TYPO3 Security Bulletin: SQL Injection und Open Redirect
Veröffentlicht von am 08.03.2013 09:56

Komponente TypTYPO3TYPO3Enterprise Content Management System Core


Betroffene Versionen: 4.5.0 bis 4.5.23, 4.6.0 bis 4.6.16, 4.7.0 bis 4.7.8 und 6.0.0 bis 6.0.2
Art der Schwachstelle: SQL Injection und Open Redirect
Risiko Einstufung insgesamt: Hoch
Veröffentlichungsdatum: 06.03.2013

 

Verwundbare Unterkomponente: Extbase Framework

Art der Schwachstelle: SQL Injection

Risiko Einstufung: Kritisch

Beschreibung:
Aufgrund unzureichender Aufarbeitung von User-Eingaben wird vermutet, dass der Extbase Database Abstraction Layer offen ist für SQL Injection. TYPO3TYPO3Enterprise Content Management System Seiten ohne Extbase ExtensionExtensionModul zum Ausbau von Funktionen. sind folglich nicht betroffen. Extbase Extensions sind in dem Fall betroffen, wenn sie das Query Object Model verwendet und User-generierte Eingaben Bezugswerte darstellen (z.B. $query->contains('model.categories', $userProvidedValue))

Quellehttp://typo3typo3Enterprise Content Management System.org/teams/security/security-bulletins/typo3-coretypo3-coreEnterprise Content Management System/typo3-coretypo3-coreEnterprise Content Management System-sa-2013-001/

Verwundbare Unterkomponente: Access Tracking Mechanismus

Art der Schwachstelle: Open Redirection

Risiko Einstufung: Mittel

Beschreibung:
Während der Validierung von User-Eigaben ermöglicht der Access Tracking Mechanismus Redirects zu beliebigen URLs. 

Quellehttp://typo3typo3Enterprise Content Management System.org/teams/security/security-bulletins/typo3-coretypo3-coreEnterprise Content Management System/typo3-coretypo3-coreEnterprise Content Management System-sa-2013-001/


Lösung: Update auf TYPO3TYPO3Enterprise Content Management System Version 4.5.25, 4.6.17, 4.7.9 oder 6.0.3



Kommentare (0)
Kommentar schreiben
 
 
Vollständiger Name:
E-Mail:
Kommentare:
Sicherheitsüberprüfung 
 
Um Ihre Eingabe zu verifizieren schreiben Sie bitte den Text auf dem Bild in das nebenstehende Feld.

web-vision www.web-vision.de/support