News

SB 16.04 :: kritische XXE-Lücke in Typo3

2016.02.24

Das TYPO3-Security-Team hat in einem Advisory auf eine Lücke beim Verarbeiten von XML-Dateien hingewiesen, die u.U. das Ausführen beliebigen Codes (RemoteCodeExecution) und damit die Komplettübernahme des Webservers ermöglicht; Infos zu XXE-Lücken finden Sie in diesem Artikel auf owasp.org: XML External Entity (XXE) Processing

Im Gegensatz zum TYPO3-Team stufen wir die Lücke als kritisch ein, da TYPO3 auf vielen älteren Servern mit verwundbaren libxml - Versionen zum Einsatz kommt.


Betroffene Versionen:

  • 6.2.0 - 6.2.18
  • 7.6.0 - 7.6.3
  • libxml2 <= 2.9

Mitigations

Referenzen




You code … we platform.