Sicherheitslücken in Extensions mailformplus und powermail behoben
Die Extension "th_mailformplus" erlaubte Cross-Site-Scripting-Angriffe und das ferngesteuerte Ausführen von Code (Remote Code Execution). Betroffen von den Sicherheitslücken, deren Schwere vom TYPO3-Sicherheitsteam als "hoch" eingestuft wird, sind alle Versionen bis einschließlich 4.0.3. Die neue Version 4.0.7 steht im Extension Repository zum Download bereit.
Auch bei der Mailformular-Extension "powermail" war das Ausführen von Cross-Site-Scripting möglich. Betroffen sind sämtliche Versionen bis einschließlich 1.1.8. Die neue Version 1.1.10 behebt die Sicherheitslücke und steht im Extension Repository zum Download zur Verfügung.
Die oben genannten Erweiterungen gehören nicht zur TYPO3-Standardinstallation. TYPO3-Systeme, die diese Extensions nicht einsetzen, sind von den Sicherheitslücken daher nicht betroffen.
- Links:
TYPO3 Security Bulletin powermail
TYPO3 Security Bulletin th_mailformplus
- In Verbindung stehende News:
TYPO3-Sicherheitsteam: sechs Extensions sofort updaten- Neue Version der phpmyadmin-Extension behebt Sicherheitslücke
- TYPO3-Sicherheitsteam veröffentlicht vier neue Security-Bulletins
- TYPO3-Sicherheitsteam veröffentlicht Sammlung behobener Sicherheitslücken
- Neue TYPO3-Versionen beheben Sicherheitslücken
- Sicherheitslücken in Extension sr_feuser_register und air_filemanager behoben
- Sicherheitslücken in vier TYPO3-Extensions behoben
- Sicherheitslücken in drei TYPO3-Extensions gefunden
- Neue TYPO3-Version behebt Sicherheitslücke in Indexed Search
- Neue Version der mm_forum-Extension behebt Sicherheitslücken
- Wichtigste TYPO3-Mailingliste zu wenig genutzt
Diesen Beitrag jetzt bookmarken!
Betroffen sind auch nur Seiten, die eine Uploadfunktion verwenden, wenn Ich es richtig verstanden habe.
Ich habe es so verstanden, dass ein Formular, in dem die Benutzereingaben nicht gefiltert werden, durch JavaScript-Code angreifbar ist. Wird eine Uploadfunktion verwendet, kann zudem auch PHP-Code ausgeführt werden.