В системе управления контентом TYPO3 версии 4.3.0, 4.3.1 и 4.3.2 (а также линейка бета-версий 4.4) была устранена критическая уязвимость, позволяющая злоумышленнику выполнить произвольный PHP-код на уязвимой системе. Причиной уязвимости стала недостаточная обаботка системных настроек PHP базовыми скриптами TYPO3 Core, что при определенной конфигурации интерпретатора PHP позволяло инициализировать выполнение PHP-кода по указанному внешнему URL. Таким образом, системы, где отключены опции "register_globals", "allow_url_include" и "allow_url_fopen" не являются уязвимыми. Однако, опция "allow_url_fopen" по-умолчанию является активной, поэтому уязвимости присвоен критический статус. Для устранения уязвимости необходимо обновить TYPO3 до версии 4.3.3, доступной на веб-сайте разработчиков.
Подробнее