Heute wurde zwei Sicherheitslecks im TYPO3 Core gefixt. Einmal die Möglichkeit von Cros Site Scripting in der fe_adminlib.inc. Diese Lücke besteht nur (deswegen wahrscheinlich auch „low“ als Einstufung) wenn es eine FE Extension gibt, die diese Lib auch benutzt. Kandidaten dafür sind (direct_mail_subscription, feuser_admin, kb_md5fepw).
Die zweite Lücke, die mit „high“ eingestuft wurde, ermöglicht auch Cross Site Scripting und das Ausführen von Code auf einem Apache Webserver. Das Problem ist „relative Komplex“ weshalb auch eine extra Erklärung der Thematik im buzz-Blog veröffentlicht wurde.
Ein Update auf die neuen Versionen wird dringend empfohlen.
Hier geht es zum Bulletin.