Daniel Windloff

**Nome do Software Vulnerável e Versões Afetadas** Versões do TYPO3 10.0.0 a 10.4.54 Versões do TYPO3 11.0.0 a 11.5.48 Versões do TYPO3 12.0.0 a 12.4.40 Versões do TYPO3 13.0.0 a 13.4.22 Versões do TYPO3 14.0.0 a 14.0.1 **Descrição** Existe uma falha na qual a manipulação do parâmetro `defVals` pode contornar as verificações de acesso em nível de campo durante a criação de registros no backend do TYPO3. A exploração bem-sucedida permite que atacantes insiram dados arbitrários em campos restritos de uma tabela de banco de dados, desde que o usuário já possua permissões de escrita para um conjunto limitado de campos. **Recomendações** As versões do TYPO3 10.0.0 a 10.4.54 devem ser atualizadas. As versões do TYPO3 11.0.0 a 11.5.48 devem ser atualizadas. As versões do TYPO3 12.0.0 a 12.4.40 devem ser atualizadas. As versões do TYPO3 13.0.0 a 13.4.22 devem ser atualizadas. As versões do TYPO3 14.0.0 a 14.0.1 devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** Versões 10.0.0 a 10.4.54 do TYPO3 CMS Versões 11.0.0 a 11.5.48 do TYPO3 CMS Versões 12.0.0 a 12.4.40 do TYPO3 CMS Versões 13.0.0 a 13.4.22 do TYPO3 CMS Versões 14.0.0 a 14.0.1 do TYPO3 CMS **Descrição** Usuários do back-end com acesso ao módulo Recycler podiam excluir dados arbitrários de qualquer tabela de banco de dados definida no TCA, independentemente de suas permissões para essa tabela específica. Isso permitia que atacantes excluíssem e destruíssem dados críticos do site, tornando potencialmente o site indisponível. O problema está relacionado ao módulo Recycler do TYPO3 CMS e sua interação com o TCA (TypoScript Configuration Array). **Recomendações** Versões 10.0.0 a 10.4.54 do TYPO3 CMS devem ser atualizadas para uma versão mais recente e corrigida. Versões 11.0.0 a 11.5.48 do TYPO3 CMS devem ser atualizadas para uma versão mais recente e corrigida. Versões 12.0.0 a 12.4.40 do TYPO3 CMS devem ser atualizadas para uma versão mais recente e corrigida. Versões 13.0.0 a 13.4.22 do TYPO3 CMS devem ser atualizadas para uma versão mais recente e corrigida. Versões 14.0.0 a 14.0.1 do TYPO3 CMS devem ser atualizadas para uma versão mais recente e corrigida.

**Name of the Vulnerable Software and Affected Versions** TYPO3 versions prior to 8.7.30 TYPO3 versions 9.x prior to 9.5.12 TYPO3 versions 10.x prior to 10.2.2 **Description** An issue has been discovered in the classes QueryGenerator and QueryView, which are vulnerable to insecure deserialization. There are two exploitable scenarios: one requires the system extension ext:lowlevel (Backend Module: DB Check) to be installed, with a valid backend user having administrator privileges, and the other requires the system extension ext:sys action to be installed, with a valid backend user having limited privileges. **Recommendations** For versions prior to 8.7.30, update to version 8.7.30 or later. For versions 9.x prior to 9.5.12, update to version 9.5.12 or later. For versions 10.x prior to 10.2.2, update to version 10.2.2 or later.