Sicherheitswarnung zu Aimeos: Wichtige Updates notwendig

19.06.2024
Erhebliche Sicherheitslücken in der Aimeos-Erweiterung für TYPO3 entdeckt. Betroffene Versionen sollten umgehend aktualisiert werden, um Remote Code Execution (RCE) und Insecure Direct Object Reference (IDOR) Risiken zu mitigieren.

Sicherheitswarnung zu Aimeos: Mehrere Schwachstellen entdeckt

Am 18. Juni 2024 wurden erhebliche Sicherheitslücken in der Drittanbieter-Erweiterung "Aimeos Shop and E-Commerce Framework" (aimeos) für TYPO3 entdeckt. Diese Lücken können schwerwiegende Konsequenzen für Webseitenbetreiber haben und sollten zeitnah behoben werden.

Betroffene Versionen:

  • 22.10.9 und darunter
  • 23.0.0 bis 23.10.6
  • 24.0.0 bis 24.4.1

Angriffsmöglichkeiten und Schweregrad: Die Schwachstellen sind in zwei Kategorien unterteilt: Remote Code Execution (RCE) und Insecure Direct Object Reference (IDOR). Beide gelten als hochgefährlich.

Problembeschreibung:

  1. Remote Code Execution (RCE): Die Aimeos-Erweiterung ermöglicht es einem authentifizierten Admin-Benutzer, die Dateiendung für hochgeladene Produktbilder anzugeben. Dies schafft die Möglichkeit, eine manipulierte Bilddatei mit einer PHP-Ausführungsdatei hochzuladen, die letztlich zur Ausführung von Code auf dem Server führen kann.

  2. Insecure Direct Object Reference (IDOR): Die Erweiterung prüft nicht, ob ein angegebener digitaler Produktidentifikator zum Download berechtigt ist. Dies erlaubt einem authentifizierten Frontend-Benutzer, digitale Produkte herunterzuladen, ohne den Kauf abgeschlossen zu haben.

Lösungen: Neue Versionen der Aimeos-Erweiterung, die diese Probleme beheben, sind bereits verfügbar. Es wird dringend empfohlen, die Erweiterung auf eine der folgenden Versionen zu aktualisieren:

  • 22.10.10
  • 23.10.7
  • 24.4.2

Die Updates können über den TYPO3-Extensions-Manager, Packagist oder direkt unter den folgenden Links heruntergeladen werden:

Kredite: Ein besonderer Dank gilt Norbert Sendetzky für das Bereitstellen der aktualisierten Versionen der Erweiterung.

Allgemeine Sicherheitstipps: Es wird empfohlen, den Anweisungen im TYPO3 Security Guide zu folgen und die TYPO3-announce Mailing-Liste zu abonnieren, um stets auf dem neuesten Stand bezüglich sicherheitsrelevanter Informationen zu bleiben.

Das schnelle Handeln und die zeitnahe Implementierung der Aktualisierungen sind von entscheidender Bedeutung, um die Sicherheit Ihrer TYPO3-Webseite und die Ihrer Kunden zu gewährleisten.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

Wir geben diese Nummer niemals weiter.
Nur zur Bearbeitung dieser Anfrage. Wir versenden niemals Spam.