In der TYPO3-Erweiterung Direct Mail sind zwei Schwachstellen bekannt geworden.

Die beiden entdeckten Sicherheitslücken erlauben es angemeldeten Backend-Usern JavaScript Code oder HTML auszuführen oder beliebigen SQL Code in ein Backend-Modul einzuschleusen, welches benutzt wird, um die Newsletter-Konfigurationen zu verwalten.

Die fehlerbereinigte Version 2.6.10 steht bereits im TYPO3 Extension Repository zur Verfügung. Auch wenn es sich laut dem TYPO3 Security Team um recht unkritische Sicherheitslücken handelt, wird Anwendern geraten, die Erweiterung zeitnah zu aktualisieren.

Mehr Informationen gibt es auch im heutigen Blog-Beitrag von Mittwald zu diesem Thema.

Euer TYPO3.net-Team