CVE-2021-41113

Versões do TYPO3 anteriores à 11.5.0

Foi detectada uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) no novo recurso do TYPO3 v11 que permite aos usuários criar e compartilhar links diretos na interface de usuário do backend. Essa vulnerabilidade pode ser explorada sem que o invasor precise estar autenticado e não se limita ao contexto do mesmo site. Na pior das hipóteses, um invasor poderia criar uma nova conta de usuário administrador para comprometer o sistema. O ataque requer que a vítima tenha uma sessão ativa no backend do TYPO3 e acesse um sistema comprometido. Configurações específicas de cookies Same-Site são necessárias para que o ataque seja bem-sucedido, incluindo SameSite=strict para ataques de um domínio diferente e SameSite=lax ou none para ataques de um domínio de nível superior diferente.

Atualize para a versão 11.5.0 do TYPO3 para corrigir a vulnerabilidade.