[TYPO3-german] Template durch Redakteur bearbeiten
Florian Heß
hess at ub.uni-heidelberg.de
Thu Jun 16 14:26:00 CEST 2016
Am 16.06.2016 um 13:53 schrieb Helmut Hummel:
>
> Ich würde an dieser Stelle noch mal gerne auf etwas hinweisen, nur für
> den Fall, dass das nicht bekannt sein sollte.
>
> Wer Redakteuren Zugriff auf TypoScript gibt, gibt ihnen damit
> Voll-Zugriff auf das System:
>
> Beispiel:
>
> 1. PHP Datei, die einen Admin User in der Datenbank erzeugt (class
> AdminUser, function create) als "create-admin.txt" in fileadmin hochladen
> 2. Folgendes TypoScript einbinden:
>
> page.1 = USER
> page.1.includeLibs = fileadmin/create-admin.txt
> page.1.userFunc = AdminUser->create
>
> Fertig ist der administrative Zugang.
>
Mea culpa, daran habe ich ja gar nicht gedacht! Zugegeben, ich habe
nicht mal gewusst, dass man so mir nichts dir nichts beliebigen PHP-Code
via TypoScript linken kann. Der PHP-Code könnte eben mal eine Shell
öffnen oder andere feine Dinge tun. Gut zu wissen, wenn auch in meinem
Fall - zum Glück - jetzt keine eklatante Sicherheitslücke zu stopfen
ist, da wir Redakteuren nur einen Zweig von fileadmin/ freigeben, wovon
wir natürlich nix includen.
Also, bitte meinen Tipp vergessen ... sorry. *pfeif*
Viele Grüße
Florian
>
> Viele Grüße,
> Helmut
>
More information about the TYPO3-german
mailing list