CVE-2024-55945 in TYPO3
Сводка
по VulDB • 10.05.2026
TYPO3 — это бесплатная система управления контентом с открытым исходным кодом. В функциональности пользовательского интерфейса бэкенда, связанной с глубокими ссылками (deep links), выявлена уязвимость. В частности, эта функциональность подвержена межсайтовой подделке запросов (CSRF). Кроме того, действия, изменяющие состояние, в компонентах нижестоящего уровня (downstream components) некорректно принимали запросы через HTTP GET и не обеспечивали использование соответствующего метода HTTP. Для успешной эксплуатации этой уязвимости жертва должна иметь активную сессию в пользовательском интерфейсе бэкенда и быть обманута с целью взаимодействия с вредоносным URL-адресом, направленным на бэкенд. Это может произойти при следующих условиях: пользователь открывает вредоносную ссылку, например, полученную по электронной почте; пользователь посещает скомпрометированный или измененный веб-сайт, при этом следующие настройки настроены неправильно: 1. функция `security.backend.enforceReferrer` отключена, 2. конфигурация `BE/cookieSameSite` установлена в значение `lax` или `none`. Уязвимость в затронутом компоненте нижестоящего уровня «DB Check Module» позволяет злоумышленникам манипулировать данными посредством несанкционированных действий. Пользователям рекомендуется обновиться до версий TYPO3 11.5.42 ELTS, которые устраняют описанную проблему. Известных обходных путей для этой проблемы нет.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.