CVE-2026-46725
KrytyczneStreszczenie
Rozszerzenie przekazuje ciasteczko kontrolowane przez atakującego bezpiecznie przetwarzając dane do funkcji PHP unserialize(). Zdalny, nieautoryzowany atakujący może dostarczyć spreparowany ładunek, co prowadzi do wstrzyknięcia obiektów PHP i zdalnego wykonania kodu na serwerze TYPO3.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do pełnej kontroli nad serwerem TYPO3 przez atakującego, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się zaktualizowanie rozszerzenia do najnowszej wersji oraz skonfigurowanie elementu treści z wyłączonym trybem 'Persistent Mode: Static'.
Oryginalny opis (angielski, źródło NVD)
The extension passes an attacker-controlled cookie directly to PHP's unserialize() without safely processing the input. A remote, unauthenticated attacker can supply a crafted serialized payload to trigger PHP Object Injection, leading to Remote Code Execution on the TYPO3 server. Exploitation requires the content element to be configured with "Persistent Mode: Static" in the plugin settings.

