TYPO3-Installationen der Versionen 4.2, 6.2.0 bis 6.2.14 und 7.0.0 bis 7.3.0 sind aktuell angreifbar über das sogenannte Cross-Scripting.
Das heißt, dass Angreifer einen gefälschten Link zu einem Backend-Modul des Content-Management-Systems erstellen, das dann den Javascript-Payload enthält. Der Payload wird aktiviert, wenn ein berechtigter Nutzer mit Zugang zum entsprechenden Modul auf den Link klickt, und dann dazu verleitet wird, „auf ein bestimmtes HTML-Ziel“ zu klicken.
Weitere Infos unter: http://www.golem.de/news/sicherheitsluecke-typo-3-ist-per-cross-site-scripting-angreifbar-1509-116444.html.
Summary: new vulnerability in the CMS TYPO3 enables attacks via cross-scripting.
