Aktuelles

Sicherheitslücke in der Datei fe_adminLib.inc

In der Datei fe_adminLib.inc ist eine Sicherheitslücke gefunden worden, die Cross Site Scripting ermöglicht.

Problem:

Der Parameter backURL wird nicht richtig escaped. So könnte dann z.B. mit einer präparierten URL JavaScript-Code ausgeführt werden.

Da die Datei fe_adminLib.inc aber häufiger modifiziert wird, sollte unter Umständen die Datei nicht einfach überschrieben werden, sondern manuell gepatched werden.

Lösung:

TYPO3 4.0:

Ersetzen Sie die Datei typo3/sysext/cms/tslib/media/scripts/fe_adminLib.inc im Source-Code mit der Version auf dieser Seite.

TYPO3 3.8
Ersetzen Sie die Datei fe_adminLib.inc an folgenden Stellen oder Ihrem Source-Code:

• typo3/sysext/cms/tslib/media/scripts/fe_adminLib.inc
• tslib/media/scripts/fe_adminLib.inc (nur wenn Symlinks nicht benutzt wurden)
• media/scripts/fe_adminLib.inc (nur wenn Symlinks nicht benutzt wurden)