TYPOlightのインストールツールに深刻なセキュリティホールが発見されました。

バックエンドのパスワード認証をすり抜けてデータベースの認証情報を盗まれたり、Safe Mode Hackを使用している場合はそこで使用するFTPのパスワード情報を盗まれる恐れがあります。

バックエンドを.htaccessやhttpd.confで保護している場合は、今回の問題に対しては安全です。

詳細はMajor security hole in the TYPOlight install toolにありますが、以下の対応を行う必要があります。

1. TYPOlight 2.7.6に更新するか、修正ファイルを適用して下さい。修正ファイルには修正されたtypolight/install.phpとtypolight/ftp.phpが含まれていて、TYPOlight 2.4から2.7までのバージョン用が用意されています。
2. 念のため、バックエンドのパスワードを変更してください。Safe Mode Hackを使用している場合はFTPのパスワードも変更して下さい。
3. バックエンドのユーザを確認して、不明な管理者権限を持つユーザが作成されたり、管理者権限が勝手に付与されていないか確認して下さい。

詳細な情報のページをインストールツールに脆弱性として公開しました。