Sicherheitsupdate für TYPO3-Erweiterung 'fe_change_pwd' dringend empfohlen

14.12.2022
Ein kürzlich aufgedecktes Sicherheitsproblem in der TYPO3-Erweiterung 'Change password for frontend users' (fe_change_pwd) betrifft eine unzureichende Sitzungsverwaltung nach einem Passwortwechsel. Betroffene Versionen und empfohlene Maßnahmen finden Sie im Folgenden.

Innerhalb der TYPO3-Community ist ein Sicherheitsrisiko identifiziert worden, das Websitebetreiber und Entwickler aufhorchen lassen sollte. Die Erweiterung 'Change password for frontend users' (fe_change_pwd), welche es Frontend-Benutzern ermöglicht, ihr Passwort eigenständig zu ändern, zeigte Schwächen in der Sitzungsverwaltung. Nach einem Passwortwechsel werden bestehende Sessions nicht ordnungsgemäß beendet. Dies könnte es einem Angreifer ermöglichen, die Sitzung eines Nutzers auch nach dessen Passwortänderung weiterhin zu nutzen. Ein Szenario, das nicht zuletzt aufgrund der Datenschutzgrundverordnung (DSGVO) vermieden werden muss. Die betroffenen Versionen der Erweiterung sind 2.0.4 und darunter, sowie 3.0.0 bis 3.0.2. Die Sicherheitslücke wird mit mittlerer Schwere bewertet, was die umgehende Aktualisierung auf die neuesten Versionen 2.0.5 oder 3.0.3 nahelegt, die bereits zum Download zur Verfügung stehen und den Fehler beheben. Dieser Beitrag dient dazu, TYPO3-Anwender über das Risiko und die Notwendigkeit des Updates zu informieren, wobei auch auf die Bedeutung allgemeiner Sicherheitsrichtlinien und die fortlaufende Wartung von Webseiten hingewiesen wird. Updates können über den TYPO3 Extension Manager, Packagist oder direkt von der TYPO3-Erweiterungsseite bezogen werden.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

We will never pass this number to someone else.
Only for processing this request. We will never sent spam.
Logo

eine Marke der
invokable GmbH
Telefon: 02195 5882 50
E-Mail: info@invokable.gmbh

Kratzberger Str. 9
42855 Remscheid

Additional links

Imprint

Copyright © 2024