A equipe de desenvolvedores do TYPO3, alertou que uma falha crítica no Sistema de Gerenciamento de Conteúdo TYPO3 (CMS), potencialmente permite que atacantes comprometam um servidor. A verificação insuficiente do parâmetro do arquivo AbstractController.php BACK_PATH, permite que atacantes carreguem e executem scripts arbitrários PHP (Remote FileInclusion). Os desenvolvedores foram informados que os invasores já estão tentando invadir servidores dos usuários em grande escala.
As versões 4.5.0 a 4.5.8 do TYPO3, bem como a 4.6.0 e a 4.6.1 estão vulneráveis - mas somente se o register_globals, allow_url_include e variáveis allow_url_fopen PHP estiverem definidos. Lembrando que somente o último destes mencionados, é ativado por padrão.
Saiba Mais:
[1] Security Bulletin TYPO3 https://typo3.org/teams/security/sec...e-sa-2011-004/