CVE-2024-55945 in TYPO3Информация

Сводка

по VulDB • 10.05.2026

TYPO3 — это бесплатная система управления контентом с открытым исходным кодом. В функциональности пользовательского интерфейса бэкенда, связанной с глубокими ссылками (deep links), выявлена уязвимость. В частности, эта функциональность подвержена межсайтовой подделке запросов (CSRF). Кроме того, действия, изменяющие состояние, в компонентах нижестоящего уровня (downstream components) некорректно принимали запросы через HTTP GET и не обеспечивали использование соответствующего метода HTTP. Для успешной эксплуатации этой уязвимости жертва должна иметь активную сессию в пользовательском интерфейсе бэкенда и быть обманута с целью взаимодействия с вредоносным URL-адресом, направленным на бэкенд. Это может произойти при следующих условиях: пользователь открывает вредоносную ссылку, например, полученную по электронной почте; пользователь посещает скомпрометированный или измененный веб-сайт, при этом следующие настройки настроены неправильно: 1. функция `security.backend.enforceReferrer` отключена, 2. конфигурация `BE/cookieSameSite` установлена в значение `lax` или `none`. Уязвимость в затронутом компоненте нижестоящего уровня «DB Check Module» позволяет злоумышленникам манипулировать данными посредством несанкционированных действий. Пользователям рекомендуется обновиться до версий TYPO3 11.5.42 ELTS, которые устраняют описанную проблему. Известных обходных путей для этой проблемы нет.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

GitHub M

Резервировать

13.12.2024

Раскрытие

14.01.2025

Модерация

принято

Вход

VDB-291827

EPSS

0.00218

KEV

Нет

Деятельности

Очень низкий

Источники

Do you know our Splunk app?

Download it now for free!