Am 27.08.2024 wurden Sicherheitspatches für gleich mehrere Lücken in Powermail veröffentlicht. Das TYPO3 Security Team hat heute eine Meldung zu einem Sicherheitspatch für Powermail veröffentlicht, der mehrere Sicherheitslücken adressiert.
TYPO3-EXT-SA-2024-006: Multiple vulnerabilities in "powermail"
Zum einen besteht in ungepatchten Versionen die Möglichkeit, unter bestimmten Umständen auf Mail-Daten in der Datenbank zuzugreifen, wenn das Mail-Attribut beim Senden nicht korrekt validiert wird. Dies stellt ein datenschutzrechtliches Risiko dar, da das lokale Speichern von Mails auf dem Server oft erforderlich ist, um eine Nachverfolgung zu gewährleisten. Sollte die Einstellung "plugin.tx_powermail.settings.db.enable = 1" aktiviert sein, kann dieser Bug ausgenutzt werden, um auf alle Mail-Daten zuzugreifen, ohne dass Backend-Zugriff erforderlich ist.
Zudem gibt es im "OutputController" zahlreiche fehlerhafte Aktionen, die Angreifern eine "Broken Access Control" ermöglichen.
Lösung
Laut dem Beitrag des Sicherheitsteams sind bereits Patches verfügbar und können ausgerollt werden. Wichtig: Die Actions Export und RSS wurde aus dem Frontend Controller entfernt. Ist dieser bei einer Seite im Einsatz muss die Powermail Extension mit einer eigenen Extension zu Powermail erweitert werden.