CVE-2024-55924

Nome do Software Vulnerável e Versões Afetadas Versões do TYPO3 anteriores a 11.5.42 ELTS

Descrição Uma vulnerabilidade foi identificada na funcionalidade da interface de usuário do backend envolvendo deep links, que é suscetível a Cross-Site Request Forgery (CSRF). Ações de alteração de estado em componentes downstream aceitaram incorretamente submissões via HTTP GET e não impuseram o método HTTP apropriado. A exploração bem-sucedida requer que a vítima tenha uma sessão ativa na interface de usuário do backend e seja enganada para interagir com uma URL maliciosa direcionada ao backend. Isso pode ocorrer quando o usuário abre um link malicioso ou visita um site comprometido enquanto configurações específicas estão incorretas, como o recurso security.backend.enforceReferrer estar desabilitado ou a configuração BE/cookieSameSite estar definida como lax ou none. A vulnerabilidade no componente downstream afetado "Módulo Scheduler" permite que atacantes acionem classes de comando predefinidas, potencialmente levando à importação ou exportação não autorizada de dados.

Recomendações Atualize para a versão 11.5.42 ELTS do TYPO3 para corrigir o problema descrito. Como solução alternativa temporária, considere restringir o acesso ao vulnerável Módulo Scheduler até que a atualização seja aplicada. Além disso, certifique-se de que o recurso security.backend.enforceReferrer esteja habilitado e a configuração BE/cookieSameSite esteja definida com um valor seguro para minimizar o risco de exploração.