CVE-2024-55920

Nome do Software Vulnerável e Versões Afetadas Versões do TYPO3 anteriores a 11.5.42 ELTS Versões do TYPO3 anteriores a 12.4.25 LTS Versões do TYPO3 anteriores a 13.4.3 LTS

Descrição Uma vulnerabilidade foi identificada na funcionalidade da interface de usuário do backend envolvendo deep links, que é suscetível a Falsificação de Solicitação entre Sites (CSRF). Ações que alteram estado em componentes downstream aceitaram incorretamente submissões via HTTP GET e não impuseram o método HTTP apropriado. A exploração bem-sucedida requer que a vítima tenha uma sessão ativa na interface de usuário do backend e seja enganada para interagir com uma URL maliciosa direcionada ao backend. Isso pode ocorrer quando o usuário abre um link malicioso ou visita um site comprometido enquanto configurações específicas estão mal configuradas, como o recurso security.backend.enforceReferrer estando desabilitado ou a configuração BE/cookieSameSite definida como lax ou none. A vulnerabilidade no componente downstream afetado "Dashboard Module" permite que atacantes manipulem a configuração do dashboard da vítima.

Recomendações Atualize para a versão 11.5.42 ELTS do TYPO3 para corrigir o problema descrito. Atualize para a versão 12.4.25 LTS do TYPO3 para corrigir o problema descrito. Atualize para a versão 13.4.3 LTS do TYPO3 para corrigir o problema descrito.