CVE-2024-55945

Nome do Software Vulnerável e Versões Afetadas Versões do TYPO3 anteriores a 11.5.42 ELTS

Descrição Foi identificada uma vulnerabilidade na funcionalidade da interface de usuário do backend envolvendo deep links, que é suscetível a Cross-Site Request Forgery (CSRF). Ações de mudança de estado em componentes downstream aceitaram incorretamente submissões via HTTP GET e não impuseram o método HTTP apropriado. A exploração bem-sucedida requer que a vítima tenha uma sessão ativa na interface de usuário do backend e seja enganada para interagir com uma URL maliciosa direcionada ao backend. Isso pode ocorrer quando o usuário abre um link malicioso ou visita um site comprometido com configurações incorretas, como a funcionalidade security.backend.enforceReferrer desativada ou a configuração BE/cookieSameSite definida como lax ou none. A vulnerabilidade no componente downstream afetado "Módulo DB Check" permite que atacantes manipulem dados através de ações não autorizadas.

Recomendações Atualize para a versão 11.5.42 ELTS do TYPO3 para corrigir o problema descrito. Como solução temporária, considere desativar a funcionalidade security.backend.enforceReferrer e definir a configuração BE/cookieSameSite para um valor mais seguro até que a atualização seja aplicada. Restrinja o acesso ao "Módulo DB Check" para minimizar o risco de exploração. Evite usar HTTP GET para ações de mudança de estado em componentes downstream até que o problema seja resolvido.