Das TYPO3-Sicherheitsteam hat Sicherheitslücken in den Mailformular-Extensions "th_mailformplus" und "powermail" behoben. Neue Versionen der beiden Erweiterungen sind im Extension Repository verfügbar.
Die Extension "
th_mailformplus" erlaubte Cross-Site-Scripting-Angriffe und das ferngesteuerte Ausführen von Code (Remote Code Execution). Betroffen von den Sicherheitslücken, deren Schwere vom TYPO3-Sicherheitsteam als "hoch" eingestuft wird, sind alle Versionen bis einschließlich 4.0.3. Die
neue Version 4.0.7 steht im
Extension Repository zum Download bereit.
Auch bei der Mailformular-Extension "powermail" war das Ausführen von Cross-Site-Scripting möglich. Betroffen sind sämtliche Versionen bis einschließlich 1.1.8. Die neue Version 1.1.10 behebt die Sicherheitslücke und steht im Extension Repository zum Download zur Verfügung.
Die oben genannten Erweiterungen gehören nicht zur TYPO3-Standardinstallation. TYPO3-Systeme, die diese Extensions nicht einsetzen, sind von den Sicherheitslücken daher nicht betroffen.
![TYPO3: 10 Jahre in 60 Sekunden zusammengefasst [Video]](http://t3n.de/uploads/t3n-news-post-361575_typo3_medium.jpg)
2 Antworten
von gould.aoemedia.de 07.05.2008 (13:17Uhr) 1.
Betroffen sind auch nur Seiten, die eine Uploadfunktion verwenden, wenn Ich es richtig verstanden habe.
von nelson 07.05.2008 (15:21Uhr) 2.
Ich habe es so verstanden, dass ein Formular, in dem die Benutzereingaben nicht gefiltert werden, durch JavaScript-Code angreifbar ist. Wird eine Uploadfunktion verwendet, kann zudem auch PHP-Code ausgeführt werden.