Sicherheitslücke in der TYPO3-Erweiterung "powermail" erkannt

18.09.2024
Eine neue Sicherheitslücke in der TYPO3-Erweiterung "powermail" wurde entdeckt, die unter bestimmten Bedingungen von nicht authentifizierten Angreifern ausgenutzt werden kann. Nutzer sollten umgehend auf die neuesten, gesicherten Versionen aktualisieren, um ihre Daten zu schützen.

Es wurde festgestellt, dass die TYPO3-Erweiterung "powermail" eine Sicherheitslücke aufweist, die als "Insecure Direct Object Reference" (IDOR) bekannt ist. Der im "createAction"-Parameter übermittelte Wert der Erweiterung wird nicht korrekt validiert. Dadurch kann ein nicht authentifizierter Angreifer auf eingesandte Benutzerdaten zugreifen, die von Formularen der Erweiterung gespeichert wurden. Diese Schwachstelle kann jedoch nur unter bestimmten Bedingungen ausgenutzt werden:

  1. Die Erweiterung ist so konfiguriert, dass die eingesandten Formulareinträge in der Datenbank gespeichert werden.
  2. Die Option „Umleitung nach dem Absenden auf eine andere Seite“ der powermail-Erweiterung ist nicht aktiviert.
  3. Die powermail-Einstellung „Text auf der Absenden-Seite“ enthält die Variable „{powermail_all}“ oder andere Variablen, die sensible Benutzerdaten enthalten.

Betroffene Versionen

Die Sicherheitslücke betrifft die folgenden Versionen von "powermail":

  • 7.5.0 und früher
  • 8.0.0 bis 8.5.0
  • 9.0.0 bis 10.9.0
  • 12.0.0 bis 12.4.0

Die Schwachstelle wurde als mittelschwer eingestuft und sollte daher schnellstmöglich behoben werden.

Lösung

Aktualisierte Versionen der Erweiterung, die die Sicherheitslücke schließen, sind bereits verfügbar. Nutzer der betroffenen Versionen sollten dringend auf die folgenden gesicherten Versionen aktualisieren:

Es wird empfohlen, die Erweiterung so schnell wie möglich zu aktualisieren, um sicherzustellen, dass die gespeicherten Benutzerdaten nicht unbefugt eingesehen und missbraucht werden können.

Danksagung

Unser Dank gilt Marcus Schwemer, der die aktualisierten Versionen der Erweiterung bereitgestellt hat.

Allgemeine Hinweise

Zur Vermeidung ähnlicher Probleme in der Zukunft empfehlen wir, die Sicherheitsrichtlinien von TYPO3 zu befolgen. Weitere Informationen finden Sie im TYPO3 Security Guide. Zudem empfehlen wir, sich für die TYPO3-announce Mailingliste anzumelden, um stets über aktuelle Sicherheitsmeldungen informiert zu sein.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

Wir geben diese Nummer niemals weiter.
Nur zur Bearbeitung dieser Anfrage. Wir versenden niemals Spam.