CMS-Blog
| Typo3: Remote File Inclusion |
| Dienstag, 20. Dezember 2011 um 23:41 Uhr |
|
Typo3 enthält schwere Remote-File-Inclusion-Lücke. Verwundbar sind die Typo3-Versionen 4.5.0 bis 4.5.8 sowie 4.6.0 und 4.6.1 – allerdings nur, wenn die PHP-Einstellungen register_globals, allow_url_include und allow_url_fopen eingeschaltet sind. Und zwar wird in der AbstractController.php der Parameter BACK_PATH nicht ausreichend geprüft. Dadurch können Angreifer beliebige Dateien (auch PHP-Scripte) hochladen und ggf. ausführen. Das Entwicklerteam hat bereits einen Patch und die fehlerkorrigierten Versionen 4.5.9 und 4.6.2 veröffentlicht. Quelle: Typo3 Security |