CVE-2020-11069

Versões 9.0.0 a 9.5.16 do TYPO3 CMS

Versões 10.0.0 a 10.4.1 do TYPO3 CMS

Foi descoberta uma vulnerabilidade de falsificação de solicitação no mesmo site (SSRF) na interface de usuário do backend e na ferramenta de instalação do TYPO3 CMS. Essa vulnerabilidade pode ser acionada por uma vulnerabilidade de script entre sites (XSS), permitindo que um invasor induza um usuário do backend a interagir com um recurso malicioso. O invasor pode então executar scripts com os privilégios da sessão de usuário da vítima, criando potencialmente novos usuários administradores. A vulnerabilidade requer uma sessão de usuário ativa e válida no backend ou na ferramenta de instalação para ser bem-sucedida. Cargas maliciosas, como HTML contendo JavaScript, podem ser fornecidas tanto por um usuário autenticado no backend quanto por um usuário não autenticado usando uma extensão de terceiros.

Atualize para a versão 9.5.17 do TYPO3 para mitigar o problema.

Atualize para a versão 10.4.2 do TYPO3 para mitigar o problema.

Considere a implantação de técnicas de mitigação adicionais, como a extensão Sudo Mode, que intercepta modificações em tabelas de banco de dados relevantes para a segurança e exige a confirmação do usuário em ação.

Implemente uma Política de Segurança de Conteúdo para proibir a execução de scripts em locais específicos, como /fileadmin/ e /uploads/.