Christian Pschorr

**Nome do software vulnerável e versões afetadas** Versões da extensão powermail anteriores à 7.5.0 Versões da extensão powermail anteriores à 8.5.0 Versões da extensão powermail anteriores à 10.9.0 Versões da extensão powermail anteriores à 12.4.0 **Descrição** Foi descoberta uma falha na extensão powermail para TYPO3, na qual ela não valida o parâmetro `mail` da ação `confirmationAction`, resultando em uma Referência Direta a Objeto Insegura (IDOR). Um invasor não autenticado pode usar isso para exibir os dados enviados pelo usuário de todos os formulários armazenados pela extensão. Isso só pode ser explorado quando a extensão está configurada para salvar os dados enviados dos formulários no banco de dados, que é a configuração padrão. **Recomendações** Para versões anteriores à 7.5.0, atualize para a versão 7.5.0 ou posterior. Para versões anteriores à 8.5.0, atualize para a versão 8.5.0 ou posterior. Para versões anteriores à 10.9.0, atualize para a versão 10.9.0 ou posterior. Para versões anteriores à 12.4.0, atualize para a versão 12.4.0 ou posterior. Como solução temporária, considere desativar o `confirmationAction` até que um patch esteja disponível. Restrinja o acesso à configuração `plugin.tx powermail.settings.db.enable` para minimizar o risco de exploração. Evite usar o parâmetro `mail` no `confirmationAction` afetado até que o problema seja resolvido.