CVE-2023-24814 in TYPO3
요약
\~에 의해 VulDB • 2026. 06. 16.
TYPO3는 GNU 일반 공중 사용 허가서(GNU General Public License)에 따라 배포되는 무료 및 오픈 소스 콘텐츠 관리 프레임워크입니다. 영향을 받는 버전에서 TYPO3 핵심 구성 요소인 `GeneralUtility::getIndpEnv()`는 필터링되지 않은 서버 환경 변수 `PATH_INFO`를 사용하여 공격자가 악성 콘텐츠를 주입할 수 있습니다. TypoScript 설정 `config.absRefPrefix=auto`와 결합하면, 아직 렌더링되거나 캐시되지 않은 페이지에 공격자가 악성 HTML 코드를 주입할 수 있습니다. 그 결과, 주입된 값이 캐싱되어 다른 웹사이트 방문자에게 제공되며(지속형 크로스 사이트 스크립팅), `GeneralUtility::getIndpEnv('SCRIPT_NAME')`의 해결 값을 의존하는 개별 코드 및 해당 사용 사례도 취약합니다. 추가 조사에 따르면 CGI(FPM, FCGI/FastCGI 등)를 사용하는 최소한 Apache 웹 서버 배포 환경이 영향을 받는 것으로 확인되었습니다. 그러나 nginx, IIS 또는 Apache/mod_php와 같은 다른 시나리오에서도 여전히 취약점이 존재할 가능성이 있습니다. `GeneralUtility::getIndpEnv()` 내의 해당 처리 과정에서 서버 환경 변수 `PATH_INFO` 사용이 제거되었습니다. 또한 공개 속성인 `TypoScriptFrontendController::$absRefPrefix`는 URI 구성 요소로 사용되는 경우와 HTML 컨텍스트에서 접두사로 사용되는 경우 모두 인코딩되어 크로스 사이트 스크립팅 취약점을 완화합니다. 사용자는 이 문제를 해결하는 TYPO3 버전 8.7.51 ELTS, 9.5.40 ELTS, 10.4.35 LTS, 11.5.23 LTS 및 12.2.0으로 업데이트할 것을 권장합니다. 적시에 패치를 적용할 수 없는 사용자의 경우 TypoScript 설정 `config.absRefPrefix`를 최소한 정적 경로 값(예: `config.absRefPrefix=/`)으로 설정해야 하며, auto는 사용하지 않아야 합니다. 이 우회 방법은 **취약점의 모든 측면을 해결하지 않으며**, 가장 두드러진 발현 형태에 대한 중간 완화 조치로만 간주됩니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.