Schwere Sicherheitslücken in TYPO3 - Erweiterungen

von Wolfgang Schneider | 0 | 1324 Aufrufe

Anzeige Hier werben

Die Typo3 -Entwickler haben jetzt drei Berichte über Schwachstellen in TYPO3-Erweiterungen veröffentlicht. Diese beschreiben bei insgesamt neun Erweiterungen Probleme wie Cross-Site-Scripting, SQL-Injection und Command-Injection. Ein Angreifer könnte dadurch die Datenbank manipulieren, an vertrauliche Daten gelangen oder sogar administrativen Zugang zum System erlangen.

Bild zu Schwere Sicherheitslücken in TYPO3 - Erweiterungen

Die Erweiterungen gehören dabei aber nicht zu der Typo3-Standardinstallation. Die betroffenen Extensions sind laut Bericht u.a.:

  • [AN] Search it! (an_searchit) 2.4.1 (und vorherige)
  • Simple download-system with counter and categories (kk_downloader) 1.2.1 (und vorherige)
  • Automatic Base Tags for RealUrl (lt_basetag) 1.0.0
  • Trips (mchtrips) 2.0.0
  • simple Glossar (simple_glossar) 1.0.3 and prior
  • TW Productfinder (tw_productfinder) 0.0.2 and prior
  • DB Integration (wfqbe) 1.3.1 and prior
  • Direct Mail (direct_mail) 2.6.4 and prior
  • Calendar Base (cal) 1.2.0 and prior

Die Entwickler stufen die meisten der Probleme als sehr risikoreich ein. Bislang sind aber nur Updates für DB Integration, Trips, kk_downloader, Direct Mail und Calendar Base erhältlich, die sich über den "TYPO3 Extension Manager" aktualisieren lassen. Für die anderen Extensions gibt es aus diversen Gründen noch keine Updates. Anwender sollten die betroffenen Erweiterungen am besten entfernen und auf die Updates warten. Aus dem TYPO3 Extension Repository wurden sie bereits entfernt.

Die drei Berichte finden sich hier:

Über den Autor: Wolfgang Schneider
Online Marketeer & Projektmanager bei Team23 in Augsburg. Netzkind der ersten Stunde und Photoshopjunky. Seit über 10 Jahren im Bereich Design, Entwicklung & Online-Marketing tätig.
Profilseite betrachten