In der von Udo von Eynern entwickelten Gästebuch-Extension ve_guestbook wurde in Zusammenarbeit mit dem TYPO3-Security-Team eine Sicherheitslücke behoben, die SQL-Injections und Cross-Site-Scripting zugelassen hat. Es wurde festgestellt, dass die Versionen 1.9.3 und niedriger nicht gegen SQL-Injections und das Ausführen von Cross-Site-Scripting abgesichert waren.

In Zusammenarbeit mit dem TYPO3-Security-Team wurden diese Sicherheitslücken in der neuen Version 2.0.0 behoben. Diese steht im TYPO3 Extension Repository zur Verfügung.

Die Erweiterung ve_guestbook gehört nicht zur TYPO3-Standardinstallation. TYPO3-Systeme, die diese Extension nicht einsetzen, sind von der Sicherheitslücke daher nicht betroffen.

• Weiterführende Links:
• ve_guestbook Version 2.0.0 im Extension Repository
• TYPO3 Security Bulletin zur Extension "ve_guestbook"
• Übersicht aller TYPO3 Security Bulletins
• TYPO3 Security Cookbook