Sicherheitslücken in TYPO3-Extension „Powermail“ entdeckt: Update dringend erforderlich
Faire lire les articles
In der beliebten TYPO3-Erweiterung „Powermail“ wurden kürzlich mehrere Sicherheitslücken identifiziert, die die Sicherheit deiner Website gefährden könnten.
Konkret handelt es sich um Schwachstellen in den Bereichen Insecure Direct Object Reference (IDOR) und Broken Access Control. Diese Sicherheitslücken ermöglichen es einem Angreifer, ohne Authentifizierung auf sensible Benutzerdaten zuzugreifen und diese zu manipulieren.
Die Schwachstelle betrifft alle Versionen der Erweiterung „Powermail“ bis zur Version 7.4.3, sowie die Versionen 8.0.0 bis 8.4.2, 9.0.0 bis 10.8.2 und 12.0.0 bis 12.3.5. Der Angreifer kann durch die unsichere Verarbeitung des „mail“-Parameters in der „confirmationAction“ auf gespeicherte Formulardaten zugreifen, wenn die Standardeinstellung aktiviert ist, die Formulardaten in der Datenbank zu speichern. Dies bedeutet, dass sensible Benutzerdaten, die über Formulare gesammelt wurden, gefährdet sein könnten.
Darüber hinaus können mehrere Aktionen im „OutputController“ der Erweiterung aufgrund unzureichender Zugriffskontrollen direkt aufgerufen werden. Dies könnte einem Angreifer ermöglichen, Formulardaten zu bearbeiten, zu aktualisieren, zu löschen oder zu exportieren, sofern bestimmte Plugins der „Powermail Frontend“-Erweiterung aktiv sind.
Um diese Schwachstellen zu beheben, wurden aktualisierte Versionen der „Powermail“-Erweiterung veröffentlicht. Es wird dringend empfohlen, die Erweiterung auf die neuesten Versionen zu aktualisieren.
Wichtig ist zu beachten, dass die „Export“- und „RSS“-Funktionen des „Powermail Frontend“-Plugins in den neuen Versionen entfernt wurden. Diese Funktionen werden ohne Ersatz gestrichen, um die Sicherheit der Erweiterung weiter zu verbessern.
Halte deine TYPO3-Installation sicher und aktualisiere „Powermail“ umgehend auf eine der neuen Versionen.
Back
Qui écrit ici ?
Salut, je m'appelle Wolfgang.
Depuis 2006, je me plonge profondément dans le monde fascinant de TYPO3 - ce n'est pas seulement mon métier, c'est aussi ma passion. Mon parcours m'a conduit à travers d'innombrables projets et j'ai créé des centaines de guides vidéo professionnels axés sur TYPO3 et ses extensions. J'aime démêler les sujets complexes et les transformer en concepts faciles à comprendre, ce qui se reflète également dans mes formations et mes séminaires.
En tant que membre actif du TYPO3 Education Committee, je m'engage à ce que les questions d'examen pour le TYPO3 CMS Certified Integrator restent toujours actuelles et stimulantes. Depuis janvier 2024, je suis fier d'être partenaire officiel de TYPO3 Consultant!
Mais ma passion ne s'arrête pas à l'écran. Quand je ne suis pas en train de plonger dans les profondeurs de TYPO3, tu me trouves souvent sur mon vélo en train d'explorer les chemins pittoresques du lac de Constance. Ces excursions en plein air sont mon équilibre parfait - elles me permettent de garder l'esprit frais et me donnent toujours de nouvelles idées.
Der TYPO3 Newsletter
TYPO3-Insights direkt in dein Postfach!
Hol dir monatliche Updates, praktische Tipps und spannende Fallstudien.
Übersichtlich, zeitsparend, ohne Spam.
Bist du dabei? Jetzt für den Newsletter anmelden!