Sicherheitslücken in TYPO3-Extension „Powermail“ entdeckt: Update dringend erforderlich
Artikel vorlesen lassen
In der beliebten TYPO3-Erweiterung „Powermail“ wurden kürzlich mehrere Sicherheitslücken identifiziert, die die Sicherheit deiner Website gefährden könnten.
Konkret handelt es sich um Schwachstellen in den Bereichen Insecure Direct Object Reference (IDOR) und Broken Access Control. Diese Sicherheitslücken ermöglichen es einem Angreifer, ohne Authentifizierung auf sensible Benutzerdaten zuzugreifen und diese zu manipulieren.
Die Schwachstelle betrifft alle Versionen der Erweiterung „Powermail“ bis zur Version 7.4.3, sowie die Versionen 8.0.0 bis 8.4.2, 9.0.0 bis 10.8.2 und 12.0.0 bis 12.3.5. Der Angreifer kann durch die unsichere Verarbeitung des „mail“-Parameters in der „confirmationAction“ auf gespeicherte Formulardaten zugreifen, wenn die Standardeinstellung aktiviert ist, die Formulardaten in der Datenbank zu speichern. Dies bedeutet, dass sensible Benutzerdaten, die über Formulare gesammelt wurden, gefährdet sein könnten.
Darüber hinaus können mehrere Aktionen im „OutputController“ der Erweiterung aufgrund unzureichender Zugriffskontrollen direkt aufgerufen werden. Dies könnte einem Angreifer ermöglichen, Formulardaten zu bearbeiten, zu aktualisieren, zu löschen oder zu exportieren, sofern bestimmte Plugins der „Powermail Frontend“-Erweiterung aktiv sind.
Um diese Schwachstellen zu beheben, wurden aktualisierte Versionen der „Powermail“-Erweiterung veröffentlicht. Es wird dringend empfohlen, die Erweiterung auf die neuesten Versionen zu aktualisieren.
Wichtig ist zu beachten, dass die „Export“- und „RSS“-Funktionen des „Powermail Frontend“-Plugins in den neuen Versionen entfernt wurden. Diese Funktionen werden ohne Ersatz gestrichen, um die Sicherheit der Erweiterung weiter zu verbessern.
Halte deine TYPO3-Installation sicher und aktualisiere „Powermail“ umgehend auf eine der neuen Versionen.
ZurückWer schreibt hier?
Hi, ich bin Wolfgang.
Seit 2006 tauche ich tief in die faszinierende Welt von TYPO3 ein – es ist nicht nur mein Beruf, sondern auch meine Leidenschaft. Mein Weg führte mich durch unzählige Projekte, und ich habe Hunderte von professionellen Videoanleitungen erstellt, die sich auf TYPO3 und seine Erweiterungen konzentrieren. Ich liebe es, komplexe Themen zu entwirren und in leicht verständliche Konzepte zu verwandeln, was sich auch in meinen Schulungen und Seminaren widerspiegelt.
Als aktives Mitglied im TYPO3 Education Committee setze ich mich dafür ein, dass die Prüfungsfragen für den TYPO3 CMS Certified Integrator stets aktuell und herausfordernd bleiben. Seit Januar 2024 bin ich stolz darauf, offizieller TYPO3 Consultant Partner zu sein!
Meine Leidenschaft endet aber nicht am Bildschirm. Wenn ich nicht gerade in die Tiefen von TYPO3 eintauche, findest du mich oft auf meinem Rad, während ich die malerischen Wege am Bodensee erkunde. Diese Ausflüge ins Freie sind mein perfekter Ausgleich – sie halten meinen Geist frisch und liefern mir immer wieder neue Ideen.
Der TYPO3 Newsletter
TYPO3-Insights direkt in dein Postfach!
Hol dir monatliche Updates, praktische Tipps und spannende Fallstudien.
Übersichtlich, zeitsparend, ohne Spam.
Bist du dabei? Jetzt für den Newsletter anmelden!