Das TYPO3 Security Team hat am 19. Mai sechs neue Extension-Advisories veröffentlicht. Einer davon ist Critical: das ceselector-Plugin ist ohne Login direkt aus dem Netz angreifbar, sofern "Persistent Mode: Static" konfiguriert ist.
Weitere betroffene Extensions: News system (SQL-Injection über URL-Parameter ohne Login), KE Search (XML External Entity, Path Traversal), tt_address (SQL-Injection), Site Crawler (RCE mit Admin-Voraussetzung) und sf_register (Broken Access Control).
Alle Details und eine Prioritätsliste im Artikel:
https://wwagner.net/blog/a/typo3-security-6-neue-advisories-fuer-news-ke-search-und-co
Nutzt du eine dieser Extensions in eigenen Projekten? Hast du einen Workflow, wie du Security-Advisories regelmäßig im Blick behältst?