Hallo Chris, sofern das Security-relevant ist, bitte mit dem Security Team klären und nicht in einer öffentlichen Liste: security at typo3.org. Es könnte eine sql injection in eurem System geben wo wer die be_user ausliest, also mal die access logs checken. lg georg