PT-2024-19263 · Typo3 · Typo3
Daniel Jonka
+1
·
Publicado
2024-02-13
·
Atualizado
2025-09-15
·
CVE-2024-22188
CVSS v4.0
8.6
Alta
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do TYPO3 8.7.0 a 8.7.56 ELTS
Versões do TYPO3 9.5.0 a 9.5.45 ELTS
Versões do TYPO3 10.4.0 a 10.4.42 ELTS
Versões do TYPO3 11.5.0 a 11.5.34 LTS
Versões do TYPO3 12.4.0 a 12.4.10 LTS
Versões do TYPO3 anteriores à 13.0.1
Descrição
A vulnerabilidade permite que um usuário administrador autenticado com privilégios de mantenedor do sistema execute comandos shell arbitrários com os privilégios do servidor web por meio de uma vulnerabilidade de injeção de comando nos campos de formulário da Ferramenta de Instalação. Isso requer uma conta de usuário backend de nível de administrador com permissões de mantenedor do sistema.
Recomendações
Atualize para a versão 8.7.57 ELTS do TYPO3
Atualize para a versão 9.5.46 ELTS do TYPO3
Atualize para a versão 10.4.43 ELTS do TYPO3
Atualize para a versão 11.5.35 LTS do TYPO3
Atualize para a versão 12.4.11 LTS do TYPO3
Atualize para a versão 13.0.1 do TYPO3
Correção
Command Injection
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Typo3