Sicherheitslücke in der TYPO3-Erweiterung "powermail" erkannt
18.09.2024Eine neue Sicherheitslücke in der TYPO3-Erweiterung "powermail" wurde entdeckt, die unter bestimmten Bedingungen von nicht authentifizierten Angreifern ausgenutzt werden kann. Nutzer sollten umgehend auf die neuesten, gesicherten Versionen aktualisieren, um ihre Daten zu schützen.
Es wurde festgestellt, dass die TYPO3-Erweiterung "powermail" eine Sicherheitslücke aufweist, die als "Insecure Direct Object Reference" (IDOR) bekannt ist. Der im "createAction"-Parameter übermittelte Wert der Erweiterung wird nicht korrekt validiert. Dadurch kann ein nicht authentifizierter Angreifer auf eingesandte Benutzerdaten zugreifen, die von Formularen der Erweiterung gespeichert wurden. Diese Schwachstelle kann jedoch nur unter bestimmten Bedingungen ausgenutzt werden:
- Die Erweiterung ist so konfiguriert, dass die eingesandten Formulareinträge in der Datenbank gespeichert werden.
- Die Option „Umleitung nach dem Absenden auf eine andere Seite“ der powermail-Erweiterung ist nicht aktiviert.
- Die powermail-Einstellung „Text auf der Absenden-Seite“ enthält die Variable „{powermail_all}“ oder andere Variablen, die sensible Benutzerdaten enthalten.
Betroffene Versionen
Die Sicherheitslücke betrifft die folgenden Versionen von "powermail":
- 7.5.0 und früher
- 8.0.0 bis 8.5.0
- 9.0.0 bis 10.9.0
- 12.0.0 bis 12.4.0
Die Schwachstelle wurde als mittelschwer eingestuft und sollte daher schnellstmöglich behoben werden.
Lösung
Aktualisierte Versionen der Erweiterung, die die Sicherheitslücke schließen, sind bereits verfügbar. Nutzer der betroffenen Versionen sollten dringend auf die folgenden gesicherten Versionen aktualisieren:
Es wird empfohlen, die Erweiterung so schnell wie möglich zu aktualisieren, um sicherzustellen, dass die gespeicherten Benutzerdaten nicht unbefugt eingesehen und missbraucht werden können.
Danksagung
Unser Dank gilt Marcus Schwemer, der die aktualisierten Versionen der Erweiterung bereitgestellt hat.
Allgemeine Hinweise
Zur Vermeidung ähnlicher Probleme in der Zukunft empfehlen wir, die Sicherheitsrichtlinien von TYPO3 zu befolgen. Weitere Informationen finden Sie im TYPO3 Security Guide. Zudem empfehlen wir, sich für die TYPO3-announce Mailingliste anzumelden, um stets über aktuelle Sicherheitsmeldungen informiert zu sein.