Security Bulletin zu TYPO3 Extensions - 11.1.2013

Am 11. Januar 2013 hat das TYPO3 Security Team ein Security Bulletin zu mehreren Extensions veröffentlicht. Die gefundenen Sicherheitslücken betreffen Erweiterungen, die von Drittanbietern stammen und nicht zum TYPO3 Programmkern gehören. Die folgenden Extensions sind betroffen: news, onetimeaccount, phpunit, div2007, t3mootools, t3jquery, oneclicklogin

One-Time FE account (onetimeaccount), Version 0.8.0 und früher
Problem: Unserialize vulnerability
Risiko: kritisch
Empfehlung: Update auf Version 0.8.1

News system (news), Version 1.3.2 und früher
Problem: SQL Injection
Risiko: mittel
Empfehlung: Update auf Version 1.3.3

PHPUnit (phpunit), Version 3.5.14 und früher
Problem: Cross Site Scripting
Risiko: niedrig
Empfehlung: Update auf Version 3.5.15

Static Method since 2007 (div2007), Version 0.10.1 und früher
Problem: Cross Site Scripting
Risiko: mittel
Empfehlung: Update auf Version 0.10.2

T3 Mootools (t3mootools), Version 1.3.0 und früher
Problem: Insecure unserialize
Risiko: mittel
Empfehlung: Extension deinstallieren und vom System entfernen, da sie vom Autor nicht weiter gepflegt wird. Dies kann sich ggf. auf andere Erweiterungen auswirken, die Mootools verwenden

T3 jQuery (t3jquery), Version 2.2.0 und früher
Problem: Insecure Unserialize
Risiko: mittel 
Empfehlung: Update auf Version 2.2.1

1-Click-Login (oneclicklogin), Version 0.4.0 und früher
Problem: Cross Site Scripting
Risiko: niedrig
Empfehlung: Extension deinstallieren und vom System entfernen, da sie vom Autor nicht weiter gepflegt wird. Das kann sich ggf. auf andere Erweiterungen auswirken, die oneclicklogin verwenden.