CVE-2024-55945 in TYPO3情報

要約

〜によって VulDB • 2026年05月10日

TYPO3は、フリーかつオープンソースのコンテンツ管理フレームワークです。バックエンドユーザーインターフェースの機能において、ディープリンクに関連する脆弱性が特定されました。具体的には、この機能はクロスサイトリクエストフォージェリ(CSRF)の影響を受けやすいことが判明しました。さらに、下流コンポーネントにおける状態変更アクションは、HTTP GET経由での送信を誤って受け入れ、適切なHTTPメソッドを強制していません。この脆弱性を悪用するには、被害者がバックエンドユーザーインターフェースで有効なセッションを持っており、バックエンドを対象とした悪意のあるURLとの対話にだまされる必要があります。これは以下の条件の下で発生し得ます:ユーザーがメールなどで送信された悪意のあるリンクを開く、またはユーザーが以下の設定が誤設定されている間に、侵害または改ざんされたウェブサイトを訪問する:1. `security.backend.enforceReferrer`機能が無効化されている、2. `BE/cookieSameSite`設定が`lax`または`none`に設定されている。影響を受けた下流コンポーネント「DB Check Module」の脆弱性により、攻撃者は不正な操作を通じてデータを操作することが可能となります。ユーザーは、この問題を修正するTYPO3バージョン11.5.42 ELTSにアップデートすることを推奨します。この問題に対する既知の回避策はありません。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub M

予約する

2024年12月13日

モデレーション

承諾済み

エントリ

VDB-291827

EPSS

0.00218

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!