Die Dateiupload Komponente und das File Abstraction Layer (FAL) in TYPO3 6.x prüfen Uploads nicht auf verbotene Dateiendungen (konfigurierbar im Install Tool). Das ermöglicht Backend Benutzern zum Beispiel das Hochladen von PHP Dateien mit beliebigem Code, der dann im Kontext des Webservers ausgeführt werden kann.
Ein Update auf TYPO3 6.0.8 oder 6.1.3 behebt diese kritische Sicherheitslücke.
Weitere Sicherheitslücken in TYPO3 4.5 bis 6.1
Eine weitere Sicherheitslücke betrifft alle TYPO3 Versionen seit TYPO3 4.5: Im Lieferumfang von TYPO3 befindet sich die Third Party Erweiterung FlowPlayer zum Abspielen von Videos und Musik. Diese Erweiterung ist anfällig für Cross-Site Scripting. Ein Update auf TYPO3 4.5.29, 4.7.14, 6.0.8 oder 6.1.3 behebt auch dieses Problem.
Weitere Details zu den genannten Sicherheitslücken finden sich im Security Bulletin TYPO3-CORE-SA-2013-002.