Kategorien: Erweiterungen

UPDATE: AllVideos Plugin mit Sicherheitsleck

Teilen

Wie heute bekannt wurde, weist die beliebte Plugin-Erweiterung AllVideos von Joomlaworks in der aktuellen Version 4.5.0 eine Sicherheitslücke (XSS) auf.

Im Moment ist noch kein Update in Sicht. Joomla! Websites die dieses Videoplayer-Plugin einsetzen, sollten dieser Tage  ein grösseres Augenmerk auf die Server-Logs werfen.

Betroffen sind sämtliche Versionen (für J! 1.5/2.5/3.x) von AllVideos ab der Version 4.5.0 oder älter.

Da dieses Plugin wegen der CCK Komponente K2 doch eine recht hohe Verbreitung findet und Updates von Joomlaworks in den letzten Monaten doch eher spährlich waren, haben wir uns entschlossen, auf diese Lücke explizit hinzuweisen. Das letzte Update von Joomlaworks stammt vom 27. Febr. 2013.

Wir informieren dich aber sofort, sobald es ein entsprechendes Update geben sollte. Bis dahin heisst es, falls irgendwie möglich, das Plugin zu ersetzen oder vorübergehend zu deaktivieren.

Falls dies aus irgendwelchen Gründen nicht geht, sollte man zumindest die Ereignisse auf der betroffenen Website in den kommenden Tagen genau im Auge behalten.

Wie gleichzeitig bekannt wurde, scheint der JW Palyer Version 5.10.22 oder älter ein ähnliches Problem zu haben. Von daher eignet er sich zur Zeit nicht wirklich als Alternative zum AllVideos Plugin.

UPDATE 03.06.2014:
Für das Video-Plugin ist soeben ein Patch erschienen, der die besagte Lücke schliesst. Alle User der Version 4.5.0 oder älter sollten möglichst rasch auf Version 4.6.0 aktualisieren.

Quelle: vel.joomla.org

Roger Perren

Letzte Beiträge

Interview mit Hannes Papenberg zu Joomla! 4

Ich hatte die Gelegenheit, mit Hannes Papenberg ein paar Fragen zu stellen. Erfahre hier, was Hannes im Joomla! Projekt alles… Weiterlesen

vor 3 Wochen

Für wen ist Joomla! 4 gut?

Mit Joomla! 3 kamen immer mehr neue Funktionen rein. Mit Joomla! 4 sollte alles besser werden. Ist dem so? Und… Weiterlesen

vor 4 Wochen

Joomla! 3.9.11 Update erschienen!

Das Joomla! 3.9.11 Update behebt eine kleinere Sicherheits-Lücke sowie 29 gemeldete Probleme, die in diesem Release behoben wurden. Weiterlesen

vor 1 Monat

Bekommt Joomla 4 ein Pagebuilder?

Beim diesjährigen GSoC entwickelt man für Joomla! 4 ein flexibles Frontend Template Grid, dass man sich im Backend als Pagebuilder… Weiterlesen

vor 1 Monat

Joomla! 3.9.10 Update erschienen!

Das Joomla! 3.9.10 Update behebt ein kleines Problem, dass bei der Zuordnung eines spezifischen Templates bei mehrsprachigen Sites entstanden ist. Weiterlesen

vor 2 Monaten

Joomla! 3.9.9 Update erschienen!

Das Joomla! 3.9.9 Update behebt eine kleinere Sicherheits-Lücke sowie 32 gemeldete Probleme, die in diesem Release behoben wurden. Weiterlesen

vor 2 Monaten