CVE-2024-55920 in TYPO3
요약
\~에 의해 VulDB • 2026. 06. 11.
TYPO3는 무료 및 오픈 소스 콘텐츠 관리 프레임워크입니다. 심층 링크(deep links)와 관련된 백엔드 사용자 인터페이스 기능에서 취약점이 확인되었습니다. 구체적으로, 이 기능은 크로스 사이트 요청 위조(CSRF)에 취약합니다. 또한 하위 컴포넌트에서의 상태 변경 작업이 HTTP GET을 통해 제출된 데이터를 잘못 수락하고 적절한 HTTP 메서드를 강제하지 않았습니다. 이 취약점을 성공적으로 악용하려면 피해자가 백엔드 사용자 인터페이스에서 활성 세션을 가지고 있으며, 백엔드를 대상으로 하는 악성 URL과 상호작용하도록 속아 넘어가야 합니다. 이는 다음과 같은 조건 하에 발생할 수 있습니다: 사용자가 이메일을 통해 전송된 것과 같은 악성 링크를 엽니다. 사용자가 다음 설정이 잘못 구성된 상태에서 손상되거나 조작된 웹사이트를 방문합니다: 1. `security.backend.enforceReferrer` 기능이 비활성화됨, 2. `BE/cookieSameSite` 구성이 lax 또는 none으로 설정됨. 영향을 받는 하위 컴포넌트인 “대시보드 모듈”의 취약점으로 인해 공격자는 피해자의 대시보드 구성을 조작할 수 있습니다. 사용자는 해당 문제를 수정한 TYPO3 버전 11.5.42 ELTS, 12.4.25 LTS, 13.4.3 LTS로 업데이트하도록 권장됩니다. 이 취약점에 대한 알려진 우회 방법은 없습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.