Blog

Blog

Security Alarm: Kritische Lücken in sr_feuser_register und air_filemanager

Weitere Lücken in Dritt-Code, heute sogar in einer sehr weitverbreiteten Extension: In der Benutzerselbstregistrierung sr_feuser_register wurde ein Remote Code Execution Problem (sowie Cross Site Scripting, XSS) gefunden und behoben. Das Security Bulletin TYPO3-20080515-1 stuft dies zu Recht als schwerwiegend ein.

Weitere Lücken in Dritt-Code, heute sogar in einer sehr weitverbreiteten Extension: In der Benutzerselbstregistrierung sr_feuser_register wurde ein Remote Code Execution Problem (sowie Cross Site Scripting, XSS) gefunden und behoben. Das Security Bulletin TYPO3-20080515-1 stuft dies zu Recht als schwerwiegend ein.

Gleichartige Probleme (und damit ebenfalls in der Kategorie „schwerwiegend“) wurden in einem weiteren Security Bulletin (TYPO3-20080515-2) auch für die „air_filemanager“ Extension gemeldet.

Da Remote Code Execution bei Hackern sehr beliebt (weil leicht auszunutzen) ist, scheint mir das verstärkte Auftreten solcher Fehler Grund zur Sorge zu sein… Vielleicht macht es Sinn, Entwickler hier zu unterstützen und dieses Thema gezielt in den Coding Guidelines zu erläutern. (Oder an dieser Stelle anhand eines Beipiels wenigstens mal zu erklären.)

Ihr Browser ist veraltet!

Bitte aktualisieren Sie Ihren Browser, um diese Website korrekt dazustellen. Den Browser jetzt aktualisieren

Diese Webseite verwendet Cookies und das Webanalyse-Tool Google Analytics. Durch die Nutzung unserer Seiten erklären Sie sich damit einverstanden.

Eine Widerspruchsmöglichkeit finden Sie in unserer Datenschutzerklärung.
Einverstanden