Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Front End User Registration bis einschließlich Version 3.0.1
Formhandler bis einschließlich Version 1.6.0

Betroffene Plattformen:

Alle Plattformen, auf denen TYPO3 lauffähig ist.

Zwei Schwachstellen in den TYPO3-Erweiterungen Formhandler und Front End
User Registration ermöglichen einem entfernten Angreifer schlimmstenfalls
beliebige Befehle zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt ein Software-Update zur Verfügung.

http://typo3.org/extensions/repository/view/formhandler/1.6.0/
http://typo3.org/extensions/repository/view/sr_feuser_register/3.0.2/

TYPO3-EXT-SA-2013-012: Cross-site-Scripting-Schwachstelle in
TYPO3-Erweiterung Formhandler

In der TYPO3-Erweiterung Formhandler werden benutzerdefinierte Eingaben
nicht immer fehlerfrei gefiltert. Dies ermöglicht einem entfernten Angreifer
den Authentifizierungsprozess zu umgehen und schlimmstenfalls beliebige
SQL-Coden oder beliebige Befehle zur Ausführung zu bringen.

TYPO3-EXT-SA-2013-011: Cross-site-Scripting-Schwachstelle in
TYPO3-Erweiterung Front End User Registration

In der TYPO3-Erweiterung Front End User Registration werden
benutzerdefinierte Eingaben nicht immer fehlerfrei gefiltert. Dies
ermöglicht einem entfernten Angreifer beliebige HTML- und Script-Befehle im
Kontext eines anderen Benutzers zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1428/

Das Hersteller Advisory:
http://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2013-011/
http://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2013-012/

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.