Die Typo3 -Entwickler haben die Versionen 4.1.13, 4.2.10 und 4.3beta2 zum Download bereit gestellt, in denen insgesamt neun Sicherheitslücken und Schwachstellen beseitigt sind. Unter den Problemen finden sich Cross-Site-Scripting-Schwachstellen, SQL-Injection-Lücken und Möglichkeiten, Schutzfunktionen auszuhebeln und Daten auszuspähen.

Die (technisch) kritischste Lücke findet sich in der Verarbeitung
hochgeladener Dateien, durch die ein Redakteur mittels präparierter
Dateinamen laut Bericht eigene Befehle an die Shell des Systems
übergeben und starten kann. Dazu muss der Redakteur allerdings am
System angemeldet sein – auch bei den SQL-Injection-Lücken muss man am
System angemeldet sein. Zudem funktioniert der Angriff auf die Shell
nur, wenn die Dateien über Erweiterungsmodule anderer Hersteller oder
per FTP hochgeladen werden.

quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.