TYPO3 warnt vor Sicherheitslücken in mehreren Extensions von Drittanbietern. Betroffen sind auch beliebte Erweiterungen wie Basic SEO Features (seo_basics) und powermail (powermail).
Betroffene TYPO3-Extensions
In folgenden Extensions wurden sicherheitsrelevante Bugs entdeckt: seo_basics, powermail, fe_whois, cag_tables, additional_reports, general_data_display, realty, dkd_feuser_belogin, tc_fbconnect, dix_easylogin, ajado_facebook, facebook2t3, sociallogin2t3, kb_eventboard, news. Alle genannten Erweiterungen stammen von Drittanbietern und nicht von TYPO3 selbst.
Während die meisten der betroffenen Erweiterungen nur geringe Verbreitung aufweisen, sind auch zwei beliebtere Plug-Ins betroffen:
- Basic SEO Features (seo_basics) weist infolge mangelhafter Eingabefilterung eine Anfälligkeit für Cross-Site-Scripting auf. Das Sicherheitsrisiko wurde als mittelschwer (Severity: Medium) bewertet. Betroffen sind die Versionen 0.8.2 und niedriger. Details: TYPO3 Security Bulletin TYPO3-EXT-SA-2012-005: Several vulnerabilities in third party extensions.
- powermail (powermail) weist infolge mangelhafter Filterung von Eingabewerten eine Anfälligkeit für Cross-Site-Scripting (XSS) auf. Das Sicherheitsrisiko wurde als mittelschwer (Severity: Medium) bewertet. Betroffen sind die Version 1.6.4 und alle früheren Versionen. Details: TYPO3 Security Bulletin TYPO3-EXT-SA-2012-004: Cross-Site Scripting vulnerability in extension powermail for TYPO3 (powermail).
Für die anderen oben genannten Extensions gibt es eine Sammelmitteilung von TYPO3: TYPO3 Security Bulletin TYPO3-EXT-SA-2012-005: Several vulnerabilities in third party extensions.