PT-2026-2474 · Typo3 · Typo3
Benjamin Franzke
+1
·
Publicado
2026-01-13
·
Atualizado
2026-01-13
·
CVE-2025-59020
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do TYPO3 10.0.0 a 10.4.54
Versões do TYPO3 11.0.0 a 11.5.48
Versões do TYPO3 12.0.0 a 12.4.40
Versões do TYPO3 13.0.0 a 13.4.22
Versões do TYPO3 14.0.0 a 14.0.1
Descrição
Existe uma falha na qual a manipulação do parâmetro
defVals pode contornar as verificações de acesso em nível de campo durante a criação de registros no backend do TYPO3. A exploração bem-sucedida permite que atacantes insiram dados arbitrários em campos restritos de uma tabela de banco de dados, desde que o usuário já possua permissões de escrita para um conjunto limitado de campos.Recomendações
As versões do TYPO3 10.0.0 a 10.4.54 devem ser atualizadas.
As versões do TYPO3 11.0.0 a 11.5.48 devem ser atualizadas.
As versões do TYPO3 12.0.0 a 12.4.40 devem ser atualizadas.
As versões do TYPO3 13.0.0 a 13.4.22 devem ser atualizadas.
As versões do TYPO3 14.0.0 a 14.0.1 devem ser atualizadas.
Correção
LPE
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Typo3