Mehrere Sicherheitslücken wurden in folgenden TYPO3-Extensions gefunden:

• direct_mail_subscription (Security Bulletin)
• rgsmoothgallery (Security Bulletin)
• th_mailformplus (Security Bulletin)
• ameos_dragndropupload (Security Bulletin)

Eine ganze Reihe von TYPO3-Extensions ist von Sicherheitslücken betroffen. Die Lücken in der Extension mm_dam_filelist wird bereits tatsächlich ausgenutzt. Da es bisher kein Update gibt, sollte die Extension möglichst sofort entfernt werden. Auch für die anderen Erweiterungen gibt es zum Teil keine Updates.

Hier die vollständige Liste:

• MM DAM - FEFileList (mm_dam_filelist)
• Events (julle_events)
• WEC Staff Directory (wec_staffdirectory)
• TGM news (tgm_news)
• TGM media (tgm_media)
• TGM calendar module (tgm_cal)
• DAM Lightbox (damlightbox)
• Download system (sb_downloader)
• iwbase (iwbase)
• Fussballtippspiel (toto)
• Font resizer (fontsizer)
• Adminer (t3adminer)

Genaue Informationen und Handlungsempfehlungen finden Sie im Security Bulletin.

Erneut sind Cross-Site Scripting Lücken in der Erweiterung phpMyAdmin (phpmyadmin) gefunden worden. Betroffen sind alle Versionen bis 4.11.3. Ein Upgrade steht zum Download bereit. Mehr dazu im Security Bulletin.

Die Extension Formhandler (formhandler) ist bis zur Version 0.9.14 anfällig für SQL Injection und Cross Site Scripting. Eine neue Version steht ikm Repository zum Download bereit. Mehr dazu im Security Bulletin.

Cross Site Scripting Lücken wurden in der Erweiterung Questionaire (pbsurvey) bis Version 1.3.0 gefunden. Auch hier gibt es ein Update im Repository. Mehr dazu im Security Bulletin.

Die neue TYPO3-Versionen 4.5.5, 4.4.10 und 4.3.13 stehen zum Download bereit. Die neuen Versionen enthalten lediglich Bugfixes.

Mehr zum Release hier.