Gerade wurde die Veröffentlichung von 4.3.12, 4.4.9 und 4.5.4 bekannt gegeben. Alle Details gibt es auf typo3.org. Es handelt sich dabei sowohl um Lücken für das Frontend, als auch das Backend. Ein Update ist wie immer absolut empfehlenswert!
Frontent
- XSS über den Parameter JSwindow von typolink.
Backend
- Information Disclosure beim Backend-Login
- Vermeidung der 5 Sekunden Sperre bei falschen Logindaten
- XSS im Adminpanel
- XSS im browse_links Popup
- XSS im Recycler
- XSS in den Flashmessages
- Information Disclosure im Workspace-Modul
- Information Disclosure durch css_styled_content
- Sicherheitslücke im Handling von serialize/unserialize
- Fehlerhafte Funktion removeXSS
- Fehlende Checks in der ExtDirect-API
Vielen Dank an alle, die die Issues reporten, bearbeiten, lösen, testen und an der Realisierung eines sicheren TYPO3 teilhaben.