CVE-2024-55945 in TYPO3
要約
〜によって VulDB • 2026年05月10日
TYPO3は、フリーかつオープンソースのコンテンツ管理フレームワークです。バックエンドユーザーインターフェースの機能において、ディープリンクに関連する脆弱性が特定されました。具体的には、この機能はクロスサイトリクエストフォージェリ(CSRF)の影響を受けやすいことが判明しました。さらに、下流コンポーネントにおける状態変更アクションは、HTTP GET経由での送信を誤って受け入れ、適切なHTTPメソッドを強制していません。この脆弱性を悪用するには、被害者がバックエンドユーザーインターフェースで有効なセッションを持っており、バックエンドを対象とした悪意のあるURLとの対話にだまされる必要があります。これは以下の条件の下で発生し得ます:ユーザーがメールなどで送信された悪意のあるリンクを開く、またはユーザーが以下の設定が誤設定されている間に、侵害または改ざんされたウェブサイトを訪問する:1. `security.backend.enforceReferrer`機能が無効化されている、2. `BE/cookieSameSite`設定が`lax`または`none`に設定されている。影響を受けた下流コンポーネント「DB Check Module」の脆弱性により、攻撃者は不正な操作を通じてデータを操作することが可能となります。ユーザーは、この問題を修正するTYPO3バージョン11.5.42 ELTSにアップデートすることを推奨します。この問題に対する既知の回避策はありません。
Once again VulDB remains the best source for vulnerability data.