CVE-2024-55920 in TYPO3정보

요약

\~에 의해 VulDB • 2026. 06. 11.

TYPO3는 무료 및 오픈 소스 콘텐츠 관리 프레임워크입니다. 심층 링크(deep links)와 관련된 백엔드 사용자 인터페이스 기능에서 취약점이 확인되었습니다. 구체적으로, 이 기능은 크로스 사이트 요청 위조(CSRF)에 취약합니다. 또한 하위 컴포넌트에서의 상태 변경 작업이 HTTP GET을 통해 제출된 데이터를 잘못 수락하고 적절한 HTTP 메서드를 강제하지 않았습니다. 이 취약점을 성공적으로 악용하려면 피해자가 백엔드 사용자 인터페이스에서 활성 세션을 가지고 있으며, 백엔드를 대상으로 하는 악성 URL과 상호작용하도록 속아 넘어가야 합니다. 이는 다음과 같은 조건 하에 발생할 수 있습니다: 사용자가 이메일을 통해 전송된 것과 같은 악성 링크를 엽니다. 사용자가 다음 설정이 잘못 구성된 상태에서 손상되거나 조작된 웹사이트를 방문합니다: 1. `security.backend.enforceReferrer` 기능이 비활성화됨, 2. `BE/cookieSameSite` 구성이 lax 또는 none으로 설정됨. 영향을 받는 하위 컴포넌트인 “대시보드 모듈”의 취약점으로 인해 공격자는 피해자의 대시보드 구성을 조작할 수 있습니다. 사용자는 해당 문제를 수정한 TYPO3 버전 11.5.42 ELTS, 12.4.25 LTS, 13.4.3 LTS로 업데이트하도록 권장됩니다. 이 취약점에 대한 알려진 우회 방법은 없습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

출처

Might our Artificial Intelligence support you?

Check our Alexa App!