Tech Blog

Die TYPO3-Erweiterung "Front End User Registration" (sr_feuser_register) weist kritische Sicherheitslücken auf. Angreifer können durch unzureichende Validierung beliebige serialisierte PHP-Objekte einschleusen, was zu Remote Code Execution führen kann. Außerdem ermöglicht eine Schwachstelle den Download beliebiger Dateien ohne Authentifizierung. Betroffene Nutzer sollten die Erweiterung umgehend auf Version 12.5.0 aktualisieren.

Die TYPO3-Erweiterung "Backup Plus" (ns_backup) weist mehrere Sicherheitslücken auf, darunter Befehlseinschleusung, vorhersagbare Ressourcenstandorte und Cross-Site-Scripting. Authentifizierte Backend-Nutzer können die Befehlseinschleusung ausnutzen, um Backups zu erstellen. Unbefugte Nutzer können zudem erstellte Backups und Konfigurationsdateien herunterladen. Ein Update auf Version 13.0.1 schließt diese Lücken.

In TYPO3-Versionen 12.0.0-12.4.30 und 13.0.0-13.4.11 wurde eine kritische Schwachstelle im Multifaktor-Authentifizierungs-Mechanismus (MFA) des Backends entdeckt. Angreifer mit gültigen Backend-Zugangsdaten können die MFA-Abfrage umgehen und so unkontrollierten Zugriff erlangen. Ein Update auf die Versionen 12.4.31 LTS bzw. 13.4.12 LTS behebt das Problem.