CVE-2024-55893 in TYPO3info

Zusammenfassung

von VulDB • 10.06.2026

TYPO3 ist ein kostenloses und quelloffenes Content-Management-Framework. In der Backend-Benutzeroberflächenfunktionalität im Zusammenhang mit Deep Links wurde eine Schwachstelle identifiziert. Diese Funktionalität ist anfällig für Cross-Site Request Forgery (CSRF). Darüber hinaus akzeptierten zustandsändernde Aktionen in nachgelagerten Komponenten Eingaben fälschlicherweise über HTTP GET und erzwangen nicht die korrekte HTTP-Methode. Die erfolgreiche Ausnutzung dieser Schwachstelle erfordert, dass das Opfer eine aktive Sitzung auf der Backend-Benutzeroberfläche hat und dazu verleitet wird, mit einer bösartigen URL zu interagieren, die sich an das Backend richtet; dies kann unter folgenden Bedingungen geschehen: Der Benutzer öffnet einen böswilligen Link, z. B. per E-Mail versendet. Der Benutzer besucht eine kompromittierte oder manipulierte Website, während folgende Einstellungen falsch konfiguriert sind: 1. Die Funktion `security.backend.enforceReferrer` ist deaktiviert, 2. Die Konfiguration `BE/cookieSameSite` ist auf „lax“ oder „none“ gesetzt. Die Schwachstelle in der betroffenen nachgelagerten Komponente „Log-Modul“ ermöglicht es Angreifern, Log-Einträge zu entfernen. Benutzern wird empfohlen, ein Update auf TYPO3-Versionen 11.5.42 ELTS, 12.4.25 LTS und 13.4.3 LTS durchzuführen, die das beschriebene Problem beheben. Es sind keine bekannten Workarounds für diese Schwachstelle verfügbar.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

12.12.2024

Veröffentlichung

14.01.2025

Moderieren

akzeptiert

Eintrag

VDB-291825

CPE

bereit

EPSS

0.00235

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!