CVE-2024-55920 in TYPO3información

Resumen

por MITRE • 2025-01-14

TYPO3 es un framework gestor de contenidos gratuito y de código abierto. Se ha identificado una vulnerabilidad en la funcionalidad de la interfaz de usuario del backend que implica enlaces profundos. En concreto, esta funcionalidad es susceptible a Cross-Site Request Forgery (CSRF). Además, las acciones de cambio de estado en los componentes posteriores aceptaron incorrectamente los envíos a través de HTTP GET y no aplicaron el método HTTP adecuado. Para explotar con éxito esta vulnerabilidad, la víctima debe tener una sesión activa en la interfaz de usuario del backend y ser engañada para que interactúe con una URL maliciosa dirigida al backend, lo que puede ocurrir en las siguientes condiciones: El usuario abre un enlace malicioso, como uno enviado por correo electrónico. El usuario visita un sitio web comprometido o manipulado mientras las siguientes configuraciones están mal configuradas: 1. La función `security.backend.enforceReferrer` está deshabilitada, 2. La configuración `BE/cookieSameSite` está establecida en lax o ninguna. La vulnerabilidad en el componente posterior afectado "Dashboard Module" permite a los atacantes manipular la configuración del panel de la víctima. Se recomienda a los usuarios que actualicen a las versiones 11.5.42 ELTS, 12.4.25 LTS y 13.4.3 LTS de TYPO3, que solucionan el problema descrito. No se conocen Workarounds para esta vulnerabilidad.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2024-12-13

Divulgación

2025-01-14

Moderación

aceptado

Artículo

VDB-291826

CPE

listo

EPSS

0.00188

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!