Das TYPO3-Sicherheitsteam hat Sicherheitslücken in den Mailformular-Extensions "th_mailformplus" und "powermail" behoben. Neue Versionen der beiden Erweiterungen sind im Extension Repository verfügbar.
Die Extension "th_mailformplus" erlaubte Cross-Site-Scripting-Angriffe und das ferngesteuerte Ausführen von Code (Remote Code Execution). Betroffen von den Sicherheitslücken, deren Schwere vom TYPO3-Sicherheitsteam als "hoch" eingestuft wird, sind alle Versionen bis einschließlich 4.0.3. Die neue Version 4.0.7 steht im Extension Repository zum Download bereit.
Auch bei der Mailformular-Extension "powermail" war das Ausführen von Cross-Site-Scripting möglich. Betroffen sind sämtliche Versionen bis einschließlich 1.1.8. Die neue Version 1.1.10 behebt die Sicherheitslücke und steht im Extension Repository zum Download zur Verfügung.
Die oben genannten Erweiterungen gehören nicht zur TYPO3-Standardinstallation. TYPO3-Systeme, die diese Extensions nicht einsetzen, sind von den Sicherheitslücken daher nicht betroffen.
- Weiterführende Links:
- TYPO3 Security Bulletin powermail
- TYPO3 Security Bulletin th_mailformplus
- Alle Security-Bulletins im Überblick
- TYPO3 Announce Mailingliste
Betroffen sind auch nur Seiten, die eine Uploadfunktion verwenden, wenn Ich es richtig verstanden habe. 
Ich habe es so verstanden, dass ein Formular, in dem die Benutzereingaben nicht gefiltert werden, durch JavaScript-Code angreifbar ist. Wird eine Uploadfunktion verwendet, kann zudem auch PHP-Code ausgeführt werden. 
RSS-Feed
Twitter
