CVE-2024-55920 in TYPO3情報

要約

〜によって VulDB • 2026年06月11日

TYPO3は、フリーかつオープンソースのコンテンツ管理フレームワークです。バックエンドユーザーインターフェース機能におけるディープリンクに関連する脆弱性が特定されました。具体的には、この機能はクロスサイトリクエストフォージェリ(CSRF)の影響を受けやすいことが判明しました。さらに、下流コンポーネントでの状態変更アクションにおいて、HTTP GET経由で送信されたデータが誤って受け入れられ、適切なHTTPメソッドの強制が行われていませんでした。

この脆弱性を成功裏に悪用するには、被害者がバックエンドユーザーインターフェース上でアクティブなセッションを持っており、バックエンドを対象とした悪意のあるURLとの対話へと騙される必要があります。これは以下の条件の下で発生し得ます: 1. ユーザーがメールなどで送信されたような悪意のあるリンクを開く。 2. 以下設定が誤っている間に、ユーザーが悪性または改ざんされたウェブサイトを訪問する: - `security.backend.enforceReferrer`機能が無効化されていること。 - `BE/cookieSameSite`設定がlaxまたはnoneに設定されていること。

影響を受ける下流コンポーネント「Dashboard Module」の脆弱性により、攻撃者は被害者のダッシュボード構成を操作することが可能です。ユーザーは、本問題に対処したTYPO3バージョン11.5.42 ELTS、12.4.25 LTS、および13.4.3 LTSへのアップデートを行うよう推奨されます。この脆弱性に対する既知の回避策はありません。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2024年12月13日

モデレーション

承諾済み

エントリ

VDB-291826

EPSS

0.00188

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!