Security Bulletin zu TYPO3 Extensions - 03.06.2013

Am 3. Juni 2013 hat das TYPO3 Security Team drei Security Bulletins zu verschiedenen Extensions veröffentlicht. Die gefundenen Sicherheitslücken betreffen Erweiterungen, die von Drittanbietern stammen und nicht zum TYPO3 Programmkern gehören. Die folgenden Extensions sind betroffen: powermail, accessible_is_browse_results, maag_formcaptcha, meta_feedit, rzautocomplete, sb_folderdownload, sg_zfelib, sg_zlib, tq_seo, multishop

Powermail (powermail), Versionen 1.6.9 und früher, sowie 2.0.1 bis 2.0.6
Problem:  Security Bypass
Risiko: Niedrig
Empfehlung: Update auf Version 1.6.10 bzw. 2.0.7

Library for Frontend plugins (sg_zfelib), Version 1.1.774 und früher
Problem: Arbitrary Code Execution, Priviledge Escalation, File Disclosure
Risiko: kritisch
Empfehlung: Der Autor der Extension hat bisher kein Update zur Verfügung gestellt. Die Erweiterung sollte deaktiviert und vom System entfernt werden.

Library for Frontend plugins (sg_zlib), Version 0.2.991 und früher
Problem: Arbitrary Code Execution, Priviledge Escalation, File Disclosure
Risiko: Kritisch
Empfehlung: Der Autor der Extension hat bisher kein Update zur Verfügung gestellt. Die Erweiterung sollte deaktiviert und vom System entfernt werden.

meta_feedit (meta_feedit), Version 0.1.10 und früher
Problem: SQL Injection
Risiko: Kritisch
Empfehlung: Der Autor der Extension hat bisher kein Update zur Verfügung gestellt. Die Erweiterung sollte deaktiviert und vom System entfernt werden.

Accessible browse results for indexed search (accessible_is_browse_results), Version 1.2.1 und früher
Problem: Cross-Site Scripting
Risiko: Mittel
Empfehlung: Der Autor der Extension hat bisher kein Update zur Verfügung gestellt. Die Erweiterung sollte deaktiviert und vom System entfernt werden.

Maag Form Captcha (maag_formcaptcha), Version 2.0.0 und früher
Problem: Open Redirection
Risiko: Mittel
Empfehlung: Der Autor der Extension hat bisher kein Update zur Verfügung gestellt. Die Erweiterung sollte deaktiviert und vom System entfernt werden.

SB Folderdownload (sb_folderdownload), Version 1.1.1 und früher
Problem: File Disclosure
Risiko: Hoch
Empfehlung: Update auf Version 1.1.2 (im TER verfügbar)

TEQneers SEO Enhancements (tq_seo), Version 5.0.0 und früher
Problem: Cross Site Request Forgery
Risiko: Niedrig
Empfehlung: Update auf Version 5.0.1 (im TER verfügbar)

jQuery autocomplete for indexed_search (rzautocomplete), Version 0.0.8 und früher
Problem: SQL Injection
Risiko: Hoch
Empfehlung: Update auf Version 0.0.9 (im TER verfügbar)

Multishop (multishop), Version 2.0.38 und früher
Problem: SQL Injection
Risiko: Kritisch
Empfehlung: Update auf Version 2.0.39 (im TER verfügbar)

Über den Extension Manager im TYPO3 Backend kann ein Administrator prüfen, ob eine der betroffenen Erweiterungen im System verwendet wird.