CVE-2023-24814 in TYPO3
Riassunto
di VulDB • 16/06/2026
TYPO3 è un Content Management Framework gratuito e open source rilasciato sotto la licenza GNU General Public License. Nelle versioni interessate, il componente core di TYPO3 `GeneralUtility::getIndpEnv()` utilizza la variabile d'ambiente del server non filtrata `PATH_INFO`, consentendo agli attaccanti di iniettare contenuti dannosi. In combinazione con l'impostazione TypoScript `config.absRefPrefix=auto`, gli attaccanti possono iniettare codice HTML malevolo nelle pagine che non sono ancora state renderizzate e memorizzate nella cache (cached). Di conseguenza, i valori iniettati verrebbero memorizzati nella cache e consegnati ad altri visitatori del sito web (persistent cross-site scripting). Anche il codice individuale che si basa sul valore risolto di `GeneralUtility::getIndpEnv('SCRIPT_NAME')` e sui relativi utilizzi (come mostrato di seguito) è vulnerabile. Ulteriori indagini hanno confermato che almeno le distribuzioni del server web Apache che utilizzano CGI (FPM, FCGI/FastCGI e simili) sono interessate. Tuttavia, potrebbe persistere il rischio che altri scenari come nginx, IIS o Apache/mod_php siano vulnerabili. L'utilizzo della variabile d'ambiente del server `PATH_INFO` è stato rimosso dai relativi elaborazioni in `GeneralUtility::getIndpEnv()`. Inoltre, la proprietà pubblica `TypoScriptFrontendController::$absRefPrefix` viene codificata sia per essere utilizzata come componente URI che per essere usata come prefisso in un contesto HTML. Ciò mitiga la vulnerabilità di cross-site scripting. Si consiglia agli utenti di aggiornare alle versioni TYPO3 8.7.51 ELTS, 9.5.40 ELTS, 10.4.35 LTS, 11.5.23 LTS e 12.2.0 che risolvono questo problema. Per gli utenti che non sono in grado di applicare la patch tempestivamente, l'impostazione TypoScript `config.absRefPrefix` dovrebbe almeno essere impostata su un valore di percorso statico, invece di utilizzare auto - ad esempio `config.absRefPrefix=/`. Questo workaround **non risolve tutti gli aspetti della vulnerabilità** ed è considerato solo una mitigazione intermedia per la manifestazione più prominente.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.