Lücken in mehreren Typo3-Erweiterungen

Ein Angreifer könnte die Datenbank manipulieren, an vertrauliche Daten gelangen oder sogar administrativen Zugang zum System erlangen. Für einige Extensions gibt es Updates.

In Pocket speichern vorlesen Druckansicht 93 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Die Typo3 -Entwickler haben drei Schwachstellen-Berichte veröffentlicht, die bei insgesamt neun Erweiterungen Probleme wie Cross-Site-Scripting, SQL-Injection und Command-Injection beschreiben. Ein Angreifer könnte dadurch die Datenbank manipulieren, an vertrauliche Daten gelangen oder sogar administrativen Zugang zum System erlangen.

Die Erweiterungen sind nicht Bestandteil einer Typo3-Standardinstallation. Zu den betroffenen Extensions gehören laut Bericht:

  • [AN] Search it! (an_searchit) 2.4.1 (und vorherige)
  • Simple download-system with counter and categories (kk_downloader) 1.2.1 (und vorherige)
  • Automatic Base Tags for RealUrl (lt_basetag) 1.0.0
  • Trips (mchtrips) 2.0.0
  • simple Glossar (simple_glossar) 1.0.3 and prior
  • TW Productfinder (tw_productfinder) 0.0.2 and prior
  • DB Integration (wfqbe) 1.3.1 and prior
  • Direct Mail (direct_mail) 2.6.4 and prior
  • Calendar Base (cal) 1.2.0 and prior

Die Entwickler stufen die meisten der Probleme als risikoreich ein. Bislang gibt es aber nur Updates für DB Integration, Trips, kk_downloader, Direct Mail und Calendar Base, die sich über den "TYPO3 Extension Manager" aktualisieren lassen. Für die anderen gibt es aus diversen Gründen keine Updates. Anwender sollten die Erweiterungen entfernen. Aus dem TYPO3 Extension Repository sind sie bereits entfernt worden.

Siehe dazu auch:

(dab)