PT-2026-47737 · Typo3 · Typo3/Cms
Ethan
+1
·
Publicado
2026-06-09
·
Atualizado
2026-06-12
·
CVE-2026-11607
CVSS v4.0
7.6
Alta
| Vetor | AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
TYPO3 CMS versões anteriores a 10.4.57
TYPO3 CMS versões 11.0.0 a 11.5.51
TYPO3 CMS versões 12.0.0 a 12.4.46
TYPO3 CMS versões 13.0.0 a 13.4.31
TYPO3 CMS versões 14.0.0 a 14.3.3
Descrição
Usuários do backend com acesso ao Form Framework podem utilizar arquivos que não terminam com a extensão
.form.yaml como definições de formulário, pois o sistema não nega extensões de arquivo incorretas. Arquivos de definição de formulário maliciosamente criados podem ser usados para executar instruções SQL arbitrárias, permitindo que invasores escalem privilégios ao criar contas de usuário administrativo no backend.Recomendações
Atualize para a versão 10.4.57 ou posterior.
Atualize para a versão 11.5.52 ou posterior.
Atualize para a versão 12.4.47 ou posterior.
Atualize para a versão 13.4.32 ou posterior.
Atualize para a versão 14.3.4 ou posterior.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Typo3/Cms