Sicherheitslücken in Typo3 Extensions

Heute wurden in einer Sicherheitsbekanntmachung einige Sicherheitslücken in Typo3 aufgelistet.

Einige Extensions sind bereits aktualisiert worden. Die Übrigen wurden vorübergehend aus dem TER entfernt.

Extension: Kitchen recipe (mv_cooking)
Version: 0.4.0 und älter
Schwachstelle: SQL Injection

Extension: Category-System (toi_category)
Version: 0.6.0 und älter
Schwachstellen: SQL Injection, Cross-Site Scripting

Extension: White Papers (mm_whtppr)
Version: 0.0.4 und älter
Schwachstelle: SQL Injection

Extension: Documents download (rtg_files)
Version: 1.5.1 und älter
Schwachstellen: Cross-Site Scripting, SQL Injection

Extension: Post data records to facebook (bc_post2facebook)
Version: 0.2.1 und älter
Schwachstellen: Cross-Site Scripting, SQL Injection

Extension: System Utilities (sysutils)
Version: 1.0.3 und älter
Schwachstelle: Information Disclosure

Extension: Webservices for TYPO3 (typo3_webservice)
Version: 0.3.7 und älter
Schwachstelle: Arbitrary Code Execution

Extension: CSS styled Filelinks (css_filelinks)
Version: 0.2.18 und älter
Schwachstelle: Cross-Site Scripting

Extension: Modern FAQ (irfaq)
Version: 1.1.2 und älter
Schwachstellen: Open Redirection, Cross-Site Scripting

Extension: Euro Calculator (skt_eurocalc)
Version: 0.0.1
Schwachstelle: Cross-Site Scripting

Extension: Yet another Google search (ya_googlesearch)
Version: 0.3.9 und älter
Schwachstelle: Cross-Site Scripting

Extension: Terminal PHP Shell (terminal)
Version: 0.3.2 und älter
Schwachstellen: Cross-Site Scripting, Cross Site Request Forgery

Extension: BE User Switch (beuserswitch)
Version: 0.0.1
Schwachstellen: Cross-Site Scripting, Information Disclosure

Extension: Additional TCA Forms (jftcaforms)
Version: 0.2.0 und älter
Schwachstelle: Cross-Site Scripting

Extension: UrlTool (aeurltool)
Version: 0.1.0
Schwachstelle: Cross-Site Scripting

Weitere Infos und Einzelheiten: Typo3