Beveiligingsupdate TYPO3-20060512-1: dam_downloads

Er is een ernstig probleem ontdekt in het bestand zipit.php dat gebruikt wordt als onderdeel van de dam_downloads extensie die het voor een gebruiker mogelijk maakt willekeurige bestanden van de server te downloaden.

Component Type: Third Party Extensie. De extensie is geen onderdeel van een standaard TYPO3 installatie.

Betreffende Component: dam_downloads
Versies: 1.0.1 en eerder

Type Kwetsbaarheid: Path traversal en SQL injectie

Urgentie: Hoog

Probleem Omschrijving:
Er is een ernstig probleem ontdekt in het bestand zipit.php dat gebruikt wordt als onderdeel van de dam_downloads extensie die het voor een gebruiker mogelijk maakt willekeurige bestanden van de server te downloaden.

Er is ook een kwetsbaarheid gevonden die gebruikt kan worden om willekeurige SQL code uit te voeren.

Solution:
Er is een geupdate versie 1.1.0 beschikbaar in de extensie repository typo3.org/extensions/repository/search/dam_downloads/1.1.0/

Gebruikers van de extensie dam_downloads worden DRINGEND geadviseerd deze te updaten.

Credits:Thanks to Marc Bastian who discovered the vulnerability and notified the security team. Special thanks to Rupert Germann, who is not the extension author, but volunteered to update the extension and did so within a few hours.

Gerelateerd nieuws: