Sicherheitslücken in TYPO3-Extension „Powermail“ entdeckt: Update dringend erforderlich
Czytanie artykułów na głos
In der beliebten TYPO3-Erweiterung „Powermail“ wurden kürzlich mehrere Sicherheitslücken identifiziert, die die Sicherheit deiner Website gefährden könnten.
Konkret handelt es sich um Schwachstellen in den Bereichen Insecure Direct Object Reference (IDOR) und Broken Access Control. Diese Sicherheitslücken ermöglichen es einem Angreifer, ohne Authentifizierung auf sensible Benutzerdaten zuzugreifen und diese zu manipulieren.
Die Schwachstelle betrifft alle Versionen der Erweiterung „Powermail“ bis zur Version 7.4.3, sowie die Versionen 8.0.0 bis 8.4.2, 9.0.0 bis 10.8.2 und 12.0.0 bis 12.3.5. Der Angreifer kann durch die unsichere Verarbeitung des „mail“-Parameters in der „confirmationAction“ auf gespeicherte Formulardaten zugreifen, wenn die Standardeinstellung aktiviert ist, die Formulardaten in der Datenbank zu speichern. Dies bedeutet, dass sensible Benutzerdaten, die über Formulare gesammelt wurden, gefährdet sein könnten.
Darüber hinaus können mehrere Aktionen im „OutputController“ der Erweiterung aufgrund unzureichender Zugriffskontrollen direkt aufgerufen werden. Dies könnte einem Angreifer ermöglichen, Formulardaten zu bearbeiten, zu aktualisieren, zu löschen oder zu exportieren, sofern bestimmte Plugins der „Powermail Frontend“-Erweiterung aktiv sind.
Um diese Schwachstellen zu beheben, wurden aktualisierte Versionen der „Powermail“-Erweiterung veröffentlicht. Es wird dringend empfohlen, die Erweiterung auf die neuesten Versionen zu aktualisieren.
Wichtig ist zu beachten, dass die „Export“- und „RSS“-Funktionen des „Powermail Frontend“-Plugins in den neuen Versionen entfernt wurden. Diese Funktionen werden ohne Ersatz gestrichen, um die Sicherheit der Erweiterung weiter zu verbessern.
Halte deine TYPO3-Installation sicher und aktualisiere „Powermail“ umgehend auf eine der neuen Versionen.
Back
Kto tu pisze?
Cześć, jestem Wolfgang.
Od 2006 roku zagłębiam się w fascynujący świat TYPO3 - to nie tylko mój zawód, ale także moja pasja. Moja ścieżka prowadziła mnie przez niezliczone projekty i stworzyłem setki profesjonalnych samouczków wideo skupiających się na TYPO3 i jego rozszerzeniach. Uwielbiam rozwikływać złożone tematy i przekształcać je w łatwe do zrozumienia koncepcje, co znajduje również odzwierciedlenie w moich szkoleniach i seminariach.
Jako aktywny członek Komitetu Edukacyjnego TYPO3, jestem zaangażowany w utrzymywanie aktualnych i wymagających pytań egzaminacyjnych TYPO3 CMS Certified Integrator. Od stycznia 2024 roku mam zaszczyt być oficjalnym Partnerem Konsultacyjnym TYPO3!
Ale moja pasja nie kończy się na ekranie. Kiedy nie nurkuję w głębinach TYPO3, często można mnie spotkać na rowerze, eksplorującego malownicze szlaki wokół Jeziora Bodeńskiego. Te wycieczki na świeżym powietrzu są dla mnie idealną równowagą - utrzymują mój umysł w świeżości i zawsze dostarczają mi nowych pomysłów.
Der TYPO3 Newsletter
TYPO3-Insights direkt in dein Postfach!
Hol dir monatliche Updates, praktische Tipps und spannende Fallstudien.
Übersichtlich, zeitsparend, ohne Spam.
Bist du dabei? Jetzt für den Newsletter anmelden!