PT-2024-25815 · Typo3 · Typo3
Torben Hansen
·
Publicado
2024-05-14
·
Atualizado
2025-09-03
·
CVE-2024-34358
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
Versões do TYPO3 anteriores à 9.5.48 ELTS
Versões do TYPO3 anteriores à 10.4.45 ELTS
Versões do TYPO3 anteriores à 11.5.37 LTS
Versões do TYPO3 anteriores à 12.4.15 LTS
Versões do TYPO3 anteriores à 13.1.1
Descrição
O
ShowImageController (eID tx cms showpic) não possui uma assinatura criptográfica HMAC no parâmetro de consulta HTTP frame, por exemplo, /index.php?eID=tx cms showpic?file=3&...&frame=12345. Isso permite que invasores instruam o sistema a gerar um número arbitrário de imagens em miniatura no lado do servidor.Recomendações
Atualize para a versão 9.5.48 ELTS do TYPO3 ou posterior.
Atualize para a versão 10.4.45 ELTS do TYPO3 ou posterior.
Atualize para a versão 11.5.37 LTS do TYPO3 ou posterior.
Atualize para a versão 12.4.15 LTS do TYPO3 ou posterior.
Atualize para a versão 13.1.1 do TYPO3 ou posterior.
Como solução alternativa temporária, considere ignorar o parâmetro de consulta HTTP
frame no ShowImageController até que um patch esteja disponível.O novo sinalizador de recurso
security.frontend.allowInsecureFrameOptionInShowImageController pode ser usado para reativar o comportamento anterior, mas está desativado por padrão.Exploit
Correção
Improper Verification of Cryptographic Signature
Allocation of Resources Without Limits
Resource Exhaustion
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Typo3