Typo3 · Typo3 Extension · CVE-2026-46725
**Nome do Software Vulnerável e Versões Afetadas**
Content Element Selector (ceselector) (versões afetadas não especificadas)
**Descrição**
A extensão passa um cookie controlado por um invasor diretamente para a função `unserialize()` do PHP sem processar a entrada de forma segura. Um invasor remoto não autenticado pode fornecer um payload serializado manipulado para disparar a Injeção de Objeto PHP, levando à Execução Remota de Código no servidor TYPO3. Este problema ocorre quando o elemento de conteúdo está configurado com "Persistent Mode: Static" nas configurações do plugin. Mais de 294.700 superfícies do TYPO3 CMS foram indexadas pelo FOFA no último ano.
**Recomendações**
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.