Sicherheitslücken in TYPO3-Extension „Powermail“ entdeckt: Update dringend erforderlich
Leer artículos en voz alta
In der beliebten TYPO3-Erweiterung „Powermail“ wurden kürzlich mehrere Sicherheitslücken identifiziert, die die Sicherheit deiner Website gefährden könnten.
Konkret handelt es sich um Schwachstellen in den Bereichen Insecure Direct Object Reference (IDOR) und Broken Access Control. Diese Sicherheitslücken ermöglichen es einem Angreifer, ohne Authentifizierung auf sensible Benutzerdaten zuzugreifen und diese zu manipulieren.
Die Schwachstelle betrifft alle Versionen der Erweiterung „Powermail“ bis zur Version 7.4.3, sowie die Versionen 8.0.0 bis 8.4.2, 9.0.0 bis 10.8.2 und 12.0.0 bis 12.3.5. Der Angreifer kann durch die unsichere Verarbeitung des „mail“-Parameters in der „confirmationAction“ auf gespeicherte Formulardaten zugreifen, wenn die Standardeinstellung aktiviert ist, die Formulardaten in der Datenbank zu speichern. Dies bedeutet, dass sensible Benutzerdaten, die über Formulare gesammelt wurden, gefährdet sein könnten.
Darüber hinaus können mehrere Aktionen im „OutputController“ der Erweiterung aufgrund unzureichender Zugriffskontrollen direkt aufgerufen werden. Dies könnte einem Angreifer ermöglichen, Formulardaten zu bearbeiten, zu aktualisieren, zu löschen oder zu exportieren, sofern bestimmte Plugins der „Powermail Frontend“-Erweiterung aktiv sind.
Um diese Schwachstellen zu beheben, wurden aktualisierte Versionen der „Powermail“-Erweiterung veröffentlicht. Es wird dringend empfohlen, die Erweiterung auf die neuesten Versionen zu aktualisieren.
Wichtig ist zu beachten, dass die „Export“- und „RSS“-Funktionen des „Powermail Frontend“-Plugins in den neuen Versionen entfernt wurden. Diese Funktionen werden ohne Ersatz gestrichen, um die Sicherheit der Erweiterung weiter zu verbessern.
Halte deine TYPO3-Installation sicher und aktualisiere „Powermail“ umgehend auf eine der neuen Versionen.
Back
¿Quién escribe aquí?
Hola, soy Wolfgang.
Desde 2006, he estado buceando profundamente en el fascinante mundo de TYPO3 - no es sólo mi profesión, sino también mi pasión. Mi camino me ha llevado a través de innumerables proyectos, y he creado cientos de video tutoriales profesionales centrados en TYPO3 y sus extensiones. Me encanta desentrañar temas complejos y convertirlos en conceptos fáciles de entender, lo que también se refleja en mis formaciones y seminarios.
Como miembro activo del Comité de Educación TYPO3, estoy comprometido a mantener las preguntas del examen TYPO3 CMS Certified Integrator actualizadas y desafiantes. ¡Desde enero de 2024 estoy orgulloso de ser un Consultor Partner oficial de TYPO3!
Pero mi pasión no termina en la pantalla. Cuando no estoy buceando en las profundidades de TYPO3, a menudo me encontrarás en mi bicicleta, explorando los pintorescos senderos alrededor del lago Constanza. Estas excursiones al aire libre son mi equilibrio perfecto: mantienen mi mente fresca y siempre me aportan nuevas ideas.
Der TYPO3 Newsletter
TYPO3-Insights direkt in dein Postfach!
Hol dir monatliche Updates, praktische Tipps und spannende Fallstudien.
Übersichtlich, zeitsparend, ohne Spam.
Bist du dabei? Jetzt für den Newsletter anmelden!