Wichtiges Sicherheitsupdate für TYPO3-Erweiterung 'Direct Mail'

14.12.2023
Ein kritisches Sicherheitsrisiko wurde in der weitverbreiteten TYPO3-Erweiterung 'Direct Mail' identifiziert, welches Benutzer zur sofortigen Aktualisierung ihrer Systeme auffordert, um mögliche Konfigurationsinjektionen zu verhindern.

TYPO3-Nutzer aufgepasst: Die Erweiterung 'Direct Mail' weist eine Sicherheitslücke auf, die von Angreifern ausgenutzt werden könnte. Diese Problematik betrifft Versionen 6.0.2 und darunter, 7.0.0 bis 7.0.2 sowie 8.0.0 bis 9.5.1 der 'Direct Mail' Erweiterung. Konfigurationsinjektion stellt hier das Hauptproblem dar, was bedeutet, dass ein authentifizierter Benutzer mit Zugriff auf das Backend-Modul der Erweiterung in der Lage sein könnte, willkürliche TSConfig-Seitenkonfigurationen zu erstellen, was wiederum schwerwiegende Folgen haben kann.

Die Problematik liegt insbesondere in einer Schwachstelle, die es ermöglicht, Arbiträre Konfigurationen in die Erweiterungs-'Configuration'-TSConfig für Ordner, die als 'Direct Mail' konfiguriert sind, zu schreiben. Daraus resultiert ein Risiko der Konfigurationsinjektion, welches für Nutzer von TYPO3 10.4 und höher besteht, und die Möglichkeit zur willkürlichen Codeausführung für Nutzer von TYPO3-Versionen unter 9.5.

Die gute Nachricht ist, dass bereits aktualisierte Versionen der Erweiterung verfügbar sind. Nutzer sollten umgehend auf die Versionen 6.0.3, 7.0.3 oder 9.5.2 aktualisieren, um sich vor dieser Schwachstelle zu schützen. Weiterhin sollten Sie prüfen, ob nicht autorisierte TSConfig-Seitenkonfigurationen im System vorhanden sind.

Zum Schluss ist es wichtig zu betonen, dass Sicherheit im Bereich der Webentwicklung immer eine andauernde Aufgabe darstellt. Wir raten allen Nutzern, die Empfehlungen aus dem 'TYPO3 Security Guide' zu befolgen und sich für die TYPO3-Ankündigungen einzutragen, um immer auf dem neuesten Stand zu bleiben.

Kennen Sie schon unsere
TYPO3-Update-Flatrate?

Gerne bieten wir Ihnen unsere TYPO3-Update-Flatrate an. Wir halten Ihre Seite ganz ohne ihr Zutun im Hintergrund immer aktuell. Auch über Major-Versionen hinweg.
Das Beste: Wir veranschlagen dafür einen monatlichen Festpreis - garantiert keine versteckten Kosten.

Lassen Sie Ihre Kontaktdaten im nachfolgenden Formular, um weitere Informationen zu erhalten.

We will never pass this number to someone else.
Only for processing this request. We will never sent spam.
Logo

eine Marke der
invokable GmbH
Telefon: 02195 5882 50
E-Mail: info@invokable.gmbh

Kratzberger Str. 9
42855 Remscheid

Additional links

Imprint

Copyright © 2024