PT-2025-5587 · Typo3 · Typo3

Publicado

2025-01-28

·

Atualizado

2025-03-16

·

CVE-2025-24856

CVSS v3.1

4.2

Média

VetorAV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Versões da extensão TYPO3 anteriores à 4.0.0
Descrição Uma vulnerabilidade na lógica de vinculação de contas da extensão permite um ataque de pré-sequestro, resultando em Tomada de Conta. O ataque pode ser explorado se um invasor conseguir antecipar o endereço de e-mail do usuário, registrar uma conta de usuário frontend pública usando esse endereço de e-mail antes do primeiro login OIDC do usuário e o IDP retornar o campo email contendo o endereço de e-mail do usuário.
Recomendações Para versões anteriores à 4.0.0, atualize a extensão para a versão 4.0.0 o mais rápido possível.

Exploit

Correção

IDOR

Authentication Bypass Using an Alternate Path or Channel

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-348CWE-639CWE-288

Identificadores relacionados

CVE-2025-24856
GHSA-HJ78-P4H7-M5FV

Produtos afetados

Typo3