CVE-2024-55945 in TYPO3
Resumen
por MITRE • 2025-01-14
TYPO3 es un framework gestor de contenidos gratuito y de código abierto. Se ha identificado una vulnerabilidad en la funcionalidad de la interfaz de usuario del backend que implica enlaces profundos. En concreto, esta funcionalidad es susceptible a Cross-Site Request Forgery (CSRF). Además, las acciones de cambio de estado en los componentes posteriores aceptaron incorrectamente los envíos a través de HTTP GET y no aplicaron el método HTTP adecuado. Para explotar con éxito esta vulnerabilidad, la víctima debe tener una sesión activa en la interfaz de usuario del backend y ser engañada para que interactúe con una URL maliciosa dirigida al backend, lo que puede ocurrir en las siguientes condiciones: El usuario abre un enlace malicioso, como uno enviado por correo electrónico. El usuario visita un sitio web comprometido o manipulado mientras las siguientes configuraciones están mal configuradas: 1. La función `security.backend.enforceReferrer` está deshabilitada, 2. La configuración `BE/cookieSameSite` está establecida en `lax` o `none`. La vulnerabilidad en el componente posterior afectado "DB Check Module" permite a los atacantes manipular datos a través de acciones no autorizadas. Se recomienda a los usuarios que actualicen a la versión 11.5.42 ELTS de TYPO3, que soluciona el problema descrito. No se conocen Workarounds para este problema.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.