Sicherheitslücken in TYPO3-Extension „Powermail“ entdeckt: Update dringend erforderlich
Laat artikelen voorlezen
In der beliebten TYPO3-Erweiterung „Powermail“ wurden kürzlich mehrere Sicherheitslücken identifiziert, die die Sicherheit deiner Website gefährden könnten.
Konkret handelt es sich um Schwachstellen in den Bereichen Insecure Direct Object Reference (IDOR) und Broken Access Control. Diese Sicherheitslücken ermöglichen es einem Angreifer, ohne Authentifizierung auf sensible Benutzerdaten zuzugreifen und diese zu manipulieren.
Die Schwachstelle betrifft alle Versionen der Erweiterung „Powermail“ bis zur Version 7.4.3, sowie die Versionen 8.0.0 bis 8.4.2, 9.0.0 bis 10.8.2 und 12.0.0 bis 12.3.5. Der Angreifer kann durch die unsichere Verarbeitung des „mail“-Parameters in der „confirmationAction“ auf gespeicherte Formulardaten zugreifen, wenn die Standardeinstellung aktiviert ist, die Formulardaten in der Datenbank zu speichern. Dies bedeutet, dass sensible Benutzerdaten, die über Formulare gesammelt wurden, gefährdet sein könnten.
Darüber hinaus können mehrere Aktionen im „OutputController“ der Erweiterung aufgrund unzureichender Zugriffskontrollen direkt aufgerufen werden. Dies könnte einem Angreifer ermöglichen, Formulardaten zu bearbeiten, zu aktualisieren, zu löschen oder zu exportieren, sofern bestimmte Plugins der „Powermail Frontend“-Erweiterung aktiv sind.
Um diese Schwachstellen zu beheben, wurden aktualisierte Versionen der „Powermail“-Erweiterung veröffentlicht. Es wird dringend empfohlen, die Erweiterung auf die neuesten Versionen zu aktualisieren.
Wichtig ist zu beachten, dass die „Export“- und „RSS“-Funktionen des „Powermail Frontend“-Plugins in den neuen Versionen entfernt wurden. Diese Funktionen werden ohne Ersatz gestrichen, um die Sicherheit der Erweiterung weiter zu verbessern.
Halte deine TYPO3-Installation sicher und aktualisiere „Powermail“ umgehend auf eine der neuen Versionen.
Back
Wie schrijft hier?
Hoi, ik ben Wolfgang.
Sinds 2006 duik ik diep in de fascinerende wereld van TYPO3 - het is niet alleen mijn beroep, maar ook mijn passie. Mijn pad heeft me door talloze projecten geleid en ik heb honderden professionele video tutorials gemaakt over TYPO3 en zijn extensies. Ik hou ervan complexe onderwerpen te ontrafelen en ze om te zetten in eenvoudig te begrijpen concepten, wat ook tot uiting komt in mijn trainingen en seminars.
Als actief lid van het TYPO3 Education Committee zet ik me in om de TYPO3 CMS Certified Integrator examenvragen actueel en uitdagend te houden. Sinds januari 2024 ben ik er trots op een officiële TYPO3 Consultant Partner te zijn!
Maar mijn passie eindigt niet bij het scherm. Wanneer ik niet in de diepte van TYPO3 duik, vind je me vaak op mijn fiets, de schilderachtige paden rond het Bodenmeer verkennend. Deze uitstapjes in de buitenlucht zijn mijn perfecte balans - ze houden mijn geest fris en voorzien me altijd van nieuwe ideeën.
Der TYPO3 Newsletter
TYPO3-Insights direkt in dein Postfach!
Hol dir monatliche Updates, praktische Tipps und spannende Fallstudien.
Übersichtlich, zeitsparend, ohne Spam.
Bist du dabei? Jetzt für den Newsletter anmelden!