Heute wurden 3 Security Bulletins veröffentlicht, die zahlreiche Extensions umfasst. Wie immer gibts auf der Seite des Security Teams alle Infos darüber.
Ein Invidual Security Bulletin wurde für die Extension direct_mail verfasst, die anfällig für XSS-Attacken ist. Der Zugang zum Backend ist fürs Ausnutzen notwendig.
Ein zweites Individual Security Bulletin wurde für die Extension cal erstellt, bei der SQL Injections möglich waren.
Betroffen sind vom Collective Security Bulletin folgende Extensions:
- an_searchit
- kk_downloader
- lt_basetag
- mchtrips
- simple_glossar
- tw_productfinder
- wfqbe
Für kk_downloader, mchtrips und wfgbe gibt es Updates im TER, für die anderen Extensions nicht und diese sollten aus Produktivsystemen entfernt werden.