Cross Site Scripting mit backURLs

Im TYPO3 Quellcode wurde einen Bug entdeckt, der es ermöglicht mit Hilfe des „backURL“ Parameters JavaScript Code einzuschleusen.

Dieses ist möglich da der über backURL übergebene Wert nicht korrekt escaped wird. Die Sicherheitslücke läst sich durch eine geringfügige Änderung in der Datei typo3/sysext/cms/tslib/media/scripts/fe_adminLib.inc beheben.

Genauere Informationen über diesen Bug und wie man ihn beseitigen kann erfahren Sie auf der folgenden Seite:

typo3.org/teams/security/security-bulletins/typo3-20061010-1/