CVE-2024-55945 in TYPO3información

Resumen

por MITRE • 2025-01-14

TYPO3 es un framework gestor de contenidos gratuito y de código abierto. Se ha identificado una vulnerabilidad en la funcionalidad de la interfaz de usuario del backend que implica enlaces profundos. En concreto, esta funcionalidad es susceptible a Cross-Site Request Forgery (CSRF). Además, las acciones de cambio de estado en los componentes posteriores aceptaron incorrectamente los envíos a través de HTTP GET y no aplicaron el método HTTP adecuado. Para explotar con éxito esta vulnerabilidad, la víctima debe tener una sesión activa en la interfaz de usuario del backend y ser engañada para que interactúe con una URL maliciosa dirigida al backend, lo que puede ocurrir en las siguientes condiciones: El usuario abre un enlace malicioso, como uno enviado por correo electrónico. El usuario visita un sitio web comprometido o manipulado mientras las siguientes configuraciones están mal configuradas: 1. La función `security.backend.enforceReferrer` está deshabilitada, 2. La configuración `BE/cookieSameSite` está establecida en `lax` o `none`. La vulnerabilidad en el componente posterior afectado "DB Check Module" permite a los atacantes manipular datos a través de acciones no autorizadas. Se recomienda a los usuarios que actualicen a la versión 11.5.42 ELTS de TYPO3, que soluciona el problema descrito. No se conocen Workarounds para este problema.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2024-12-13

Divulgación

2025-01-14

Moderación

aceptado

Artículo

VDB-291827

CPE

listo

EPSS

0.00218

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!