Elias Häußler

**Nome do Software Vulnerável e Versões Afetadas** TYPO3 CMS versões anteriores a 10.4.57 TYPO3 CMS versões 11.0.0 até 11.5.50 TYPO3 CMS versões 12.0.0 até 12.4.45 TYPO3 CMS versões 13.0.0 até 13.4.30 TYPO3 CMS versões 14.0.0 até 14.3.2 **Description** Usuários de backend sem privilégios com acesso a montagem de arquivos podem realizar operações de gravação não autorizadas, incluindo mover, excluir e renomear pastas que representam a raiz de uma montagem de arquivo ativa, devido à ausência de restrições de autorização. **Recommendations** Atualize para a versão 10.4.57 ou posterior. Atualize para a versão 11.5.51 ou posterior. Atualize para a versão 12.4.46 ou posterior. Atualize para a versão 13.4.31 ou posterior. Atualize para a versão 14.3.3 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** TYPO3 CMS versões anteriores a 10.4.57 TYPO3 CMS versões 11.0.0 a 11.5.51 TYPO3 CMS versões 12.0.0 a 12.4.46 TYPO3 CMS versões 13.0.0 a 13.4.31 TYPO3 CMS versões 14.0.0 a 14.3.3 **Description** Usuários do backend com acesso ao módulo Recycler podem restaurar registros excluídos logicamente (soft-deleted) em páginas ou tabelas que não têm autorização para modificar. **Recommendations** Atualize para a versão 10.4.57 ou posterior. Atualize para a versão 11.5.52 ou posterior. Atualize para a versão 12.4.47 ou posterior. Atualize para a versão 13.4.32 ou posterior. Atualize para a versão 14.3.4 ou posterior. Como medida paliativa temporária, restrinja o acesso ao módulo Recycler para usuários não autorizados.

**Nome do Software Vulnerável e Versões Afetadas** TYPO3 CMS versões 10.4.0 até 13.4.30 TYPO3 CMS versões 14.0.0 até 14.3.2 **Description** Usuários do backend podem inserir registros e arquivos arbitrários na área de transferência sem as verificações de permissão de leitura adequadas. Isso permite que usuários não autorizados obtenham informações sobre registros e arquivos que não têm permissão para visualizar. **Recommendations** Atualize as versões do TYPO3 CMS 10.4.0 até 13.4.30 para uma versão posterior à 13.4.30. Atualize as versões do TYPO3 CMS 14.0.0 até 14.3.2 para uma versão posterior à 14.3.2.

**Name of the Vulnerable Software and Affected Versions** TYPO3 (affected versions not specified) **Description** The extension does not correctly define allowed classes when deserializing transport failure metadata. This can be exploited by an attacker to execute untrusted serialized code. An active exploit requires write access to the directory configured at `$GLOBALS['TYPO3 CONF VARS']['MAIL']['transport spool filepath']`. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** TYPO3 FileSpool Extension (affected versions not specified) **Description** The FileSpool extension for TYPO3 contains a flaw related to Insecure Deserialization. The extension’s code, derived from the TYPO3 core, reintroduces a previously addressed issue, even when the core TYPO3 system is updated. This occurs because the extension incorporates the vulnerable code that was originally fixed in the TYPO3 core. The issue is linked to the TYPO3 Core Security Advisory TYPO3-CORE-SA-2026-004. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

Nome do Software Vulnerável e Versões Afetadas Versões do TYPO3 de 10.0.0 a 10.4.54 Versões do TYPO3 de 11.0.0 a 11.5.48 Versões do TYPO3 de 12.0.0 a 12.4.40 Versões do TYPO3 de 13.0.0 a 13.4.22 Versões do TYPO3 de 14.0.0 a 14.0.1 Descrição Uma falha existe no TYPO3 que permite a usuários locais com acesso de escrita ao diretório spool executar código PHP arbitrário no servidor web. Isso é possível ao criar um arquivo malicioso que é desserializado durante o comando `mailer:spool:send`. Recomendações Atualize o TYPO3 para uma versão posterior a 10.4.54. Atualize o TYPO3 para uma versão posterior a 11.5.48. Atualize o TYPO3 para uma versão posterior a 12.4.40. Atualize o TYPO3 para uma versão posterior a 13.4.22. Atualize o TYPO3 para uma versão posterior a 14.0.1.

**Nome do Software Vulnerável e Versões Afetadas** TYPO3 CMS versões 10.0.0 a 10.4.54 TYPO3 CMS versões 11.0.0 a 11.5.48 TYPO3 CMS versões 12.0.0 a 12.4.40 TYPO3 CMS versões 13.0.0 a 13.4.22 TYPO3 CMS versões 14.0.0 a 14.0.1 **Descrição** Usuários com acesso ao módulo de redirecionamentos no back-end e permissão de escrita na tabela `sys redirect` podiam ler, criar e modificar qualquer registro de redirecionamento sem restrições. Isso permitia a inserção ou alteração de redirecionamentos apontando para URLs arbitrárias, possibilitando ataques de phishing ou outros ataques maliciosos de redirecionamento. **Recomendações** As versões 10.0.0 a 10.4.54 do TYPO3 CMS devem ser atualizadas. As versões 11.0.0 a 11.5.48 do TYPO3 CMS devem ser atualizadas. As versões 12.0.0 a 12.4.40 do TYPO3 CMS devem ser atualizadas. As versões 13.0.0 a 13.4.22 do TYPO3 CMS devem ser atualizadas. As versões 14.0.0 a 14.0.1 do TYPO3 CMS devem ser atualizadas.

**Nome do Software Vulnerável e Versões Afetadas** Versões 10.0.0 a 10.4.54 do TYPO3 CMS Versões 11.0.0 a 11.5.48 do TYPO3 CMS Versões 12.0.0 a 12.4.40 do TYPO3 CMS Versões 13.0.0 a 13.4.22 do TYPO3 CMS Versões 14.0.0 a 14.0.1 do TYPO3 CMS **Descrição** Usuários do back-end com acesso ao módulo Recycler podiam excluir dados arbitrários de qualquer tabela de banco de dados definida no TCA, independentemente de suas permissões para essa tabela específica. Isso permitia que atacantes excluíssem e destruíssem dados críticos do site, tornando potencialmente o site indisponível. O problema está relacionado ao módulo Recycler do TYPO3 CMS e sua interação com o TCA (TypoScript Configuration Array). **Recomendações** Versões 10.0.0 a 10.4.54 do TYPO3 CMS devem ser atualizadas para uma versão mais recente e corrigida. Versões 11.0.0 a 11.5.48 do TYPO3 CMS devem ser atualizadas para uma versão mais recente e corrigida. Versões 12.0.0 a 12.4.40 do TYPO3 CMS devem ser atualizadas para uma versão mais recente e corrigida. Versões 13.0.0 a 13.4.22 do TYPO3 CMS devem ser atualizadas para uma versão mais recente e corrigida. Versões 14.0.0 a 14.0.1 do TYPO3 CMS devem ser atualizadas para uma versão mais recente e corrigida.

Nome do Software Vulnerável e Versões Afetadas: Versões do TYPO3 CMS de 9.0.0 a 9.5.54 Versões do TYPO3 CMS de 10.0.0 a 10.4.53 Versões do TYPO3 CMS de 11.0.0 a 11.5.47 Versões do TYPO3 CMS de 12.0.0 a 12.4.36 Versões do TYPO3 CMS de 13.0.0 a 13.4.17 Descrição: O componente de Roteamento do Backend não possui verificações de autorização adequadas. Isso permite que usuários do backend invoquem diretamente rotas AJAX do backend sem as permissões de acesso necessárias aos módulos do backend correspondentes. Recomendações: Versões do TYPO3 CMS de 9.0.0 a 9.5.54: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Versões do TYPO3 CMS de 10.0.0 a 10.4.53: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Versões do TYPO3 CMS de 11.0.0 a 11.5.47: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Versões do TYPO3 CMS de 12.0.0 a 12.4.36: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Versões do TYPO3 CMS de 13.0.0 a 13.4.17: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.