Entdeckung einer Sicherheitslücke in der TYPO3-Extension 'Integration von Friendly Captcha'

19.06.2024
Am 18. Juni 2024 wurde in der TYPO3-Extension 'Integration von Friendly Captcha' eine Sicherheitslücke entdeckt, die zu gebrochener Zugriffskontrolle führt. Erfahren Sie mehr über die betroffenen Versionen, die Problembeschreibung und die dringend empfohlene Lösung, um Ihre Systeme sicher zu halten.

Sicherheitslücke in der TYPO3-Extension "Integration von Friendly Captcha"

Am 18. Juni 2024 wurde in der TYPO3-Extension "Integration von Friendly Captcha" (friendlycaptcha_official) eine Sicherheitslücke bekannt, die auf "Broken Access Control" (gebrochene Zugriffskontrolle) zurückzuführen ist.

Wichtige Details der Sicherheitslücke

  • Veröffentlichungsdatum: 18. Juni 2024
  • Komponententyp: Drittanbieter-Erweiterung. Diese Erweiterung ist nicht Teil der standardmäßigen TYPO3-Installation.
  • Komponente: "Integration von Friendly Captcha" (friendlycaptcha_official)
  • Composer-Paketname: studiomitte/friendlycaptcha
  • Art der Sicherheitslücke: Broken Access Control
  • Betroffene Versionen: 0.1.3 und älter
  • Schweregrad: Mittel
  • Empfohlene CVSS v3.1 Bewertung: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:F/RL:O/RC:C
  • Referenzen: Bisher nicht zugewiesen, aber Informationen zu gebrochener Zugriffskontrolle finden Sie unter CWE-284.

Problembeschreibung

Die Sicherheitslücke in der "Integration von Friendly Captcha"-Erweiterung ermöglicht es, dass das Captcha-Feld in übermittelten Formulardaten nicht korrekt überprüft wird. Dadurch kann ein entferntes System den Captcha-Check umgehen. Diese Schwachstelle betrifft nur die Captcha-Integration für die ext:form-Erweiterung.

Lösung

Eine aktualisierte Version 0.1.4 steht über den TYPO3-Extension-Manager, Packagist und unter dem folgenden Link zur Verfügung: Download der Version 0.1.4. Nutzern wird dringend empfohlen, die Erweiterung so schnell wie möglich zu aktualisieren.

Anerkennung

Ein besonderer Dank geht an Sebastian Müller für das Melden der Sicherheitslücke und an Georg Ringer, Mitglied des TYPO3 Core & Security Teams, für das Bereitstellen der aktualisierten Version der Erweiterung.

Allgemeine Hinweise

Bitte befolgen Sie die Empfehlungen im TYPO3 Security Guide. Abonnieren Sie auch die TYPO3-announce Mailingliste, um über Sicherheitsaktualisierungen informiert zu bleiben.

Die Sicherheit Ihrer TYPO3-Webseiten hat oberste Priorität. Stellen Sie sicher, dass Ihre Systeme stets aktuell sind, um solche Sicherheitslücken zu vermeiden. Bedenken Sie, dass die regelmäßige Wartung und Aktualisierung von Erweiterungen ein wichtiger Bestandteil Ihrer Sicherheitsstrategie ist, insbesondere wenn diese Erweiterungen kritische Funktionen wie die Zugriffskontrolle beinhalten.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

Wir geben diese Nummer niemals weiter.
Nur zur Bearbeitung dieser Anfrage. Wir versenden niemals Spam.