In einem kürzlich veröffentlichten Security Bulletin geben die Entwickler von Typo3 bekannt, dass zahlreiche kritische Sicherheitslücken aber auch zahlreiche mittelstufig und gering gefährlich eingesufte Lücken im Content Management System Typo3 geschlossen wurden.

Die Palette der Sicherheitslücken reicht von XSS-Lücken bis zu möglichen SQL Injections. Auch das Hochladen von .phtml Dateien ist möglich, welche anschließend als normaler PHP Code interpretiert werden, was fatale Risiken birgt.

Eine weitere kritische Lücke findet sich in der Typo3 Formelement Parametervalidierung, welche anfällig für Spam Attacken ist. Angreifer können ein Typo3 Form Element ausnutzen, um an beliebige Empfänger Spammails zu senden.

Um noch eine letzte kritische Lücke in der “Passwort vergessen”-Funktion zu erwähnen. Hier wird zur Authentifizierung der “Passwort ändern”-Anforderung ein Authentifizierungshash generiert. Da dieser jedoch nur geringfügig zufällig ist, wäre es durch eine Bruteforce-Attacke möglich, diesen innerhalb kurzer Zeit zu ermitteln.

Admins, die Version bis einschließlich 4.1.13, 4.2.12, 4.3.3 oder 4.4 im Einsatz haben, sollten ihre Typo3-Installation also umgehend auf den neuesten Stand bringen.