Kritische Sicherheitslücke in TYPO3-Erweiterung 'femanager' – Jetzt handeln und Systeme absichern

23.07.2025
Die jüngst entdeckte Schwachstelle in der weit verbreiteten TYPO3-Extension 'femanager' unterstreicht die Notwendigkeit eines konsequenten Sicherheitsmanagements für professionelle Webseitenbetreiber und Agenturen. Unzureichend abgesicherte Frontend-Benutzerprofile ermöglichen unter bestimmten Umständen unberechtigten Datenzugriff und Manipulationen durch Angreifende. Es wird dringend empfohlen, betroffene TYPO3-Systeme umgehend zu prüfen und die bereitgestellten Sicherheitsupdates zu installieren. Mit einem proaktiven Update-Management schützen Sie nicht nur die Integrität Ihrer Webprojekte, sondern auch die sensiblen Daten Ihrer Kunden.

Hintergrund zur Sicherheitslücke in der "femanager"-Erweiterung

Die TYPO3-Extension "femanager" ist eine weit verbreitete Erweiterung zur Verwaltung von Frontend-Benutzern in TYPO3-Systemen. Kürzlich wurde eine Sicherheitslücke identifiziert, die insbesondere Betreiber*innen von Webseiten betrifft, welche die genannten Versionen der Erweiterung im Einsatz haben. Das Risiko ergibt sich daraus, dass Angreifende unter bestimmten Umständen unberechtigt auf die Daten anderer Benutzer zugreifen und diese verändern könnten.

Details zur Schwachstelle

Die Schwachstelle, bekannt als Insecure Direct Object Reference (IDOR), betrifft die Überprüfung des Parameters __identity im Bearbeitungsprozess von Nutzerprofilen. Ein authentifizierter Frontend-Benutzer mit Zugang zum Bearbeitungs-Plugin kann durch Manipulation dieses Parameters auf Daten anderer Benutzer zugreifen. Aufgrund einer nicht ausreichenden Absicherung beim Mapping und der Persistierung durch Extbase besteht die Möglichkeit, dass unerwünschte Änderungen an fremden Benutzerobjekten vorgenommen und sogar gespeichert werden. Dies stellt ein Risiko für die Integrität und den Schutz personenbezogener Daten dar – besonders im Kontext der DSGVO ist hier höchste Aufmerksamkeit geboten.

Betroffene Versionen und empfohlene Maßnahmen

Von der Sicherheitslücke betroffen sind die Versionen 6.4.1 und älter, 7.0.0 bis 7.5.2 sowie 8.0.0 bis 8.3.0 der Extension. Für jede dieser Hauptversionen stehen bereits Sicherheitsupdates zur Verfügung. Betreiber*innen von TYPO3-Systemen, die femanager einsetzen, sollten schnellstmöglich auf die jeweils aktuellste Version der Erweiterung aktualisieren. Der Download und die Installation der Updates gelingt unkompliziert über den Extension Manager oder per Composer. Nur so lässt sich verhindern, dass Angreifende diese Schwachstelle ausnutzen.

Gute Sicherheitspraktiken beim Einsatz von Drittanbieter-Erweiterungen

Generell empfiehlt es sich, eingesetzte TYPO3-Erweiterungen regelmäßig auf Sicherheitsupdates zu prüfen und zeitnah zu aktualisieren. Abonnieren Sie dafür am besten die offiziellen Informationskanäle des TYPO3-Projekts oder nutzen Sie professionelle Dienstleister, die Ihre Webumgebung stetig monitoren. Ergänzend ist es ratsam, auch alle TYPO3-Benutzerrollen so restriktiv wie möglich zu vergeben und den Zugang zu sensiblen Funktionalitäten auf ein Mindestmaß zu beschränken.

Fazit

Diese neue Sicherheitslücke verdeutlicht, wie essenziell ein proaktives Patch-Management im TYPO3-Umfeld ist. Nur wer regelmäßig Updates installiert und Verantwortung für die Sicherheit seiner Plattform übernimmt, schützt nicht nur die eigene Webseite, sondern auch die Daten der Nutzerinnen und Nutzer. Zögern Sie daher nicht, Ihre Systeme auf den neuesten Stand zu bringen und Ihre Installationen kritisch zu hinterfragen.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

Wir geben diese Nummer niemals weiter.
Nur zur Bearbeitung dieser Anfrage. Wir versenden niemals Spam.