Das ging bei Schäuble damals vermutlich auch ganz leicht. Der hatte ein Typo3 in Betrieb und das hatte ein Loch beim Upload.

Nein.

Da konnte man daher bei bestimmten Installationen einfach Scripte hochladen auf den Server, die dann auch ausgeführt werden.

Nein.

Bei Schäuble hat man sich das JumpURL-Exploit zu nutze gemacht - das Weiterleitungsscript war in TYPO3 nicht ausreichend gesichert, so konnte man beliebe Files herunterladen - unter anderem auch das lokale Konfigurationsscript (localconf.php).

In diesem File steht das Passwort zum Installationswerkzeug als MD5-Hash.

Das Passwort war "gewinner" - also eine Zeichenkette, die mit einem Wörterbuchangriff schnell geknackt ist.

Um mit diesem Passwort ins Installationswerkzeug zu gelangen, muss man Zugriff aufs TYPO3-Backend oder das Filesystem haben um ein Prüffile (ENABLE_INSTALL_TOOL) erstellen zu können.

Das File darf in einer Produktivumgebung niemals existieren (neuere TYPO3-Versionen prüfen hier zusätzlich das alter, sprich wenn das File älter als eine Stunde ist, wird es eingestampft) - die Schäuble-Version konnte das nicht.

Im Installationswerkzeug kann man dann einen Admin-Benutzer anlegen und sich im Backend einloggen.

Dort kann man Files hochladen - aber keine PHP-Scripte, das wird unterbunden und muss erst über das Installationswerkzeug erlaubt werden (darauf hatten die schon Zugriff).

Unterm Strich wäre jede dieser Sicherheitslücken in TYPO3 kein Problem für die Schäuble-Website gewesen, nachdem hier aber ziemliche Pfeifen am Werk waren, konnten diese Lücken in Kombination dazu führen, dass die Website angegriffen werden konnte. Wären auch nur die Grundlagen (z.B. die gigatischen, kontrastreichen Warnmeldungen im Backend "ENABLE_INSTALL_TOOL existiert, musst du unbedingt löschen!" zu befolgen) befolgt worden, wären alle anderen Schwachpunkte zusammen kein Problem gewesen.