Sicherheitsupdate für TYPO3-Erweiterung 'fe_change_pwd' dringend empfohlen

Innerhalb der TYPO3-Community ist ein Sicherheitsrisiko identifiziert worden, das Websitebetreiber und Entwickler aufhorchen lassen sollte. Die Erweiterung 'Change password for frontend users' (fe_change_pwd), welche es Frontend-Benutzern ermöglicht, ihr Passwort eigenständig zu ändern, zeigte Schwächen in der Sitzungsverwaltung. Nach einem Passwortwechsel werden bestehende Sessions nicht ordnungsgemäß beendet. Dies könnte es einem Angreifer ermöglichen, die Sitzung eines Nutzers auch nach dessen Passwortänderung weiterhin zu nutzen. Ein Szenario, das nicht zuletzt aufgrund der Datenschutzgrundverordnung (DSGVO) vermieden werden muss. Die betroffenen Versionen der Erweiterung sind 2.0.4 und darunter, sowie 3.0.0 bis 3.0.2. Die Sicherheitslücke wird mit mittlerer Schwere bewertet, was die umgehende Aktualisierung auf die neuesten Versionen 2.0.5 oder 3.0.3 nahelegt, die bereits zum Download zur Verfügung stehen und den Fehler beheben. Dieser Beitrag dient dazu, TYPO3-Anwender über das Risiko und die Notwendigkeit des Updates zu informieren, wobei auch auf die Bedeutung allgemeiner Sicherheitsrichtlinien und die fortlaufende Wartung von Webseiten hingewiesen wird. Updates können über den TYPO3 Extension Manager, Packagist oder direkt von der TYPO3-Erweiterungsseite bezogen werden.