CVE-2022-23503

Versões do TYPO3 anteriores às 8.7.49, 9.5.38, 10.4.33, 11.5.20 e 12.1.1

O problema diz respeito a uma vulnerabilidade de injeção de código no módulo backend Form Designer do TYPO3, um sistema de gerenciamento de conteúdo web de código aberto baseado em PHP. Devido à falta de separação entre os dados enviados pelo usuário e a configuração interna, é possível injetar instruções de código para serem processadas e executadas via TypoScript como código PHP. A existência de instruções TypoScript específicas para um determinado item do formulário, como formDefinitionOverrides, e uma conta de usuário válida no backend com acesso ao módulo de formulários são necessárias para explorar essa vulnerabilidade.

Atualize para as versões 8.7.49 ELTS, 9.5.38 ELTS, 10.4.33, 11.5.20 ou 12.1.1 do TYPO3 para corrigir o problema.

Como solução alternativa temporária, considere restringir o acesso ao módulo backend Form Designer para minimizar o risco de exploração.

Evite usar instruções TypoScript individuais para itens específicos do formulário até que o problema seja resolvido.