Tja, wenn man vom Teufel spricht. Gerade erst wurde das TYPO3 Security Cookbook veröffentlicht, um TYPO3-Websites noch sicherer zu machen. Jetzt gibt das Security Team bekannt, dass Andriu Isenring Ritsch eine Sicherheitslücke im TYPO3-Kern entdeckt wurde.

Die Lücke betrifft den backURL-Parameter. Dieser wird in der aktuellen TYPO3-Version nicht ausreichend verarbeitet, sodass unter Umständen JavaScript-Code eingeschleust werden könnte.

In Kürze wird die fehlerbereinigte Version TYPO3 4.0.3 veröffentlicht. Bis dahin kann man sich mit einem Patch für die Datei typo3/sysext/cms/tslib/media/scripts/fe_adminLib.inc behelfen. Ein Update ist dringend anzuraten.

Security Bulletin