Betroffen ist die Erweiterung rtehtmlarea, die bei aktuellen Typo3-Versionen automatisch mit installiert wird. Die Lücke kann nur ausgenutzt werden, wenn der PHP-Parameter SAFE_MODE auf OFF gesetzt ist.
Auf der Website der Typo3-Entwickler stehen bereits Sicherheits-Patche bereit, die am besten sofort installiert werden sollten.
Dem Typo3-Team ist noch kein Fall bekannt, in dem diese Lücke ausgenutzt worden wäre. Dennoch ist ein zügiges Update dringend angeraten.