CVE-2024-55945 in TYPO3informação

Sumário

de VulDB • 10/05/2026

O TYPO3 é um framework de gerenciamento de conteúdo gratuito e de código aberto. Foi identificada uma vulnerabilidade na funcionalidade da interface de usuário do backend envolvendo deep links. Especificamente, essa funcionalidade é suscetível a Cross-Site Request Forgery (CSRF). Além disso, ações que alteram o estado em componentes downstream aceitavam incorretamente submissões via HTTP GET e não aplicavam o método HTTP apropriado. A exploração bem-sucedida dessa vulnerabilidade requer que a vítima tenha uma sessão ativa na interface de usuário do backend e seja induzida a interagir com uma URL maliciosa direcionada ao backend, o que pode ocorrer nas seguintes condições: o usuário abre um link malicioso, como um enviado por e-mail; ou o usuário visita um site comprometido ou manipulado enquanto as seguintes configurações estão incorretas: 1. o recurso `security.backend.enforceReferrer` está desativado; 2. a configuração `BE/cookieSameSite` está definida como `lax` ou `none`. A vulnerabilidade no componente downstream afetado “DB Check Module” permite que os atacantes manipulem dados por meio de ações não autorizadas. Os usuários são aconselhados a atualizar para as versões 11.5.42 ELTS do TYPO3, que corrigem o problema descrito. Não há soluções alternativas conhecidas para esta questão.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

GitHub M

Reservar

13/12/2024

Divulgação

14/01/2025

Moderação

aceite

Entrada

VDB-291827

CPE

pronto

EPSS

0.00218

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!