Gerade eben wurde eine Lücke in direct_mail <= 2.6.9 veröffentlicht. Es handelt sich dabei um eine SQL-Injection und um XSS, wobei die Lücken nur von Benutzern ausgenützt werden können, die auch Zugang zu Direct Mail haben. Detailierte Infos auf typo3.org. Ein rasches Update wird empfohlen!