CVE-2026-49738

Nome do Software Vulnerável e Versões Afetadas TYPO3 CMS versões anteriores a 10.4.57 TYPO3 CMS versões 11.0.0 a 11.5.51 TYPO3 CMS versões 12.0.0 a 12.4.46 TYPO3 CMS versões 13.0.0 a 13.4.31 TYPO3 CMS versões 14.0.0 a 14.3.3

Description Uma verificação de permissão de caminho na função isAllowedAbsPath() de GeneralUtility realiza uma comparação de prefixo de string simples sem exigir um limite de separador de diretório. Isso permite que caminhos que começam com os mesmos caracteres da raiz do projeto, mas que são na verdade diretórios diferentes (por exemplo, /var/www/html-other/secret.yaml quando a raiz é /var/www/html), sejam aceitos como válidos. Usuários administradores com acesso à Camada de Abstração de Arquivos podem explorar isso para criar novas definições de armazenamento de arquivos apontando para diretórios fora da raiz do projeto.

Recommendations Atualize para a versão 10.4.57 ou posterior. Atualize para a versão 11.5.52 ou posterior. Atualize para a versão 12.4.47 ou posterior. Atualize para a versão 13.4.32 ou posterior. Atualize para a versão 14.3.4 ou posterior.