Katalog CVE

CVE-2026-11607

WysokieCVSS 7.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 11 - wyżej niż 11% wszystkich znanych CVE

Streszczenie

Użytkownicy backendu z dostępem do Form Framework mogli używać plików, które nie kończą się na .form.yaml jako definicji formularzy, co prowadziło do przetwarzania plików z niepoprawnym rozszerzeniem. Złośliwie skonstruowane pliki definicji formularzy mogą być wykorzystane do wykonywania dowolnych instrukcji SQL.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do eskalacji uprawnień poprzez tworzenie kont użytkowników administracyjnych w backendzie. To stwarza poważne zagrożenie dla integralności i bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację TYPO3 CMS do wersji 10.4.57, 11.5.52 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt istniejących kont użytkowników w celu wykrycia potencjalnych nadużyć.

Oryginalny opis (angielski, źródło NVD)

Backend users with access to the Form Framework were able to use files not ending in .form.yaml as form definitions, which were processed without denying the incorrect file extension. Maliciously crafted form definition files can be used to execute arbitrary SQL statements, allowing attackers to escalate privileges by creating administrative backend user accounts. This issue affects TYPO3 CMS versions before 10.4.57, 11.0.0-11.5.51, 12.0.0-12.4.46, 13.0.0-13.4.31 and 14.0.0-14.3.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS