CVE-2024-55894

Nome do Software Vulnerável e Versões Afetadas Versões do TYPO3 anteriores a 11.5.42 ELTS Versões do TYPO3 anteriores a 12.4.25 LTS Versões do TYPO3 anteriores a 13.4.3 LTS

Descrição Uma vulnerabilidade foi identificada na funcionalidade da interface de usuário do backend envolvendo deep links, que é suscetível a Falsificação de Solicitação Entre Sites (CSRF). Ações que alteram estado em componentes downstream aceitaram incorretamente solicitações via HTTP GET e não impuseram o método HTTP apropriado. A exploração bem-sucedida requer que a vítima tenha uma sessão ativa na interface de usuário do backend e seja enganada para interagir com uma URL maliciosa direcionada ao backend. Isso pode ocorrer quando o usuário abre um link malicioso ou visita um site comprometido enquanto configurações específicas estão mal configuradas, como a funcionalidade security.backend.enforceReferrer estando desabilitada ou a configuração BE/cookieSameSite estando definida como lax ou none. A vulnerabilidade no componente downstream afetado "Módulo de Usuário do Backend" permite que atacantes iniciem redefinições de senha para outros usuários do backend ou encerrem suas sessões de usuário.

Recomendações Atualize para a versão 11.5.42 ELTS do TYPO3 para resolver o problema. Atualize para a versão 12.4.25 LTS do TYPO3 para resolver o problema. Atualize para a versão 13.4.3 LTS do TYPO3 para resolver o problema. Como solução temporária, considere habilitar a funcionalidade security.backend.enforceReferrer e definir a configuração BE/cookieSameSite para um valor mais seguro para minimizar o risco de exploração.