Sicherheits-Bulletins zu TYPO3-Erweiterungen / Februar 2014

Februar 12, 2014

cms, news, Sicherheit, typo3, Uncategorized

Neue Sicherheits-Bulletins zu TYPO3-Erweiterungen

Das TYPO3 Security Team hat heute 5 neue Sicherheitshinweise zu einer Reihe von TYPO3 Extensions veröffentlicht.

mm_forum: Version 1.9.2 und früher
Problem: Arbitrary Code Execution, Cross-Site Scripting und Cross-Site Request Forgery (CSRF)
Risiko: kritisch
Empfehlung: Update auf Version 1.9.3

tt_news: Version 3.5.1 und früher
Problem: Insecure Unserialize
Risiko: hoch
Empfehlung: Update auf Version 3.5.2

„Yet Another Gallery“ (yag) and „Tools for Extbase development“ (pt_extbase): yag: Version 3.0.0 und früher, pt_extbase: Version 1.5.0 und früher
Problem: Access Bypass
Risiko: hoch
Empfehlung: Update auf yag 3.0.1 und pt_extbase 1.5.1

Alphabetic Sitemap (alpha_sitemap): Version 0.0.3 und früher
Problem: Cross-Site Scripting
Risiko: mittel
Empfehlung: Der Autor der Extension hat bisher kein Update zur Verfügung gestellt. Die Erweiterung sollte deaktiviert und vom System entfernt werden.

femanager (femanager): Version 1.0.8 und früher
Problem: Privilege Escalation
Risiko: Hoch
Empfehlung: Update auf Version 1.0.9

Statistics (ke_stats): Version 1.1.1 und früher
Problem: SQL Injection
Risiko: kritisch
Empfehlung: Update auf Version 1.1.2

External links click statistics (outstats): Version 0.0.3 und früher
Problem: Cross-Site Scripting
Risiko: mittel
Empfehlung: Der Autor der Extension hat bisher kein Update zur Verfügung gestellt. Die Erweiterung sollte deaktiviert und vom System entfernt werden.

TYPO3 Security / Intrusion Detection System (px_phpids): Version 1.3.1 und früher
Problem: Information Disclosure and Security Bypass
Risiko: hoch
Empfehlung: Der Autor der Extension hat bisher kein Update zur Verfügung gestellt. Die Erweiterung sollte deaktiviert und vom System entfernt werden.

smarty (smarty): Version 1.13.4 und früher
Problem: Arbitrary php include via template source file
Risiko: mittel
Empfehlung: Update auf die aktualisierte Version 1.13.4

WEC Map (wec_map): Version 3.0.2 und früher
Problem: SQL Injection and Cross-Site Scripting
Risiko: mittel
Empfehlung: Update auf Version 3.0.3

Direct Mail Subscription (direct_mail_subscription): Version 2.0.0 und früher
Problem: Mass Assignment
Risiko: mittel
Empfehlung: Update auf Version 2.0.1

Weitere Information in den aktuellen Security Bulletins auf typo3.org