Katalog CVE

CVE-2026-46725

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Rozszerzenie przekazuje ciasteczko kontrolowane przez atakującego bezpiecznie przetwarzając dane do funkcji PHP unserialize(). Zdalny, nieautoryzowany atakujący może dostarczyć spreparowany ładunek, co prowadzi do wstrzyknięcia obiektów PHP i zdalnego wykonania kodu na serwerze TYPO3.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do pełnej kontroli nad serwerem TYPO3 przez atakującego, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się zaktualizowanie rozszerzenia do najnowszej wersji oraz skonfigurowanie elementu treści z wyłączonym trybem 'Persistent Mode: Static'.

Oryginalny opis (angielski, źródło NVD)

The extension passes an attacker-controlled cookie directly to PHP's unserialize() without safely processing the input. A remote, unauthenticated attacker can supply a crafted serialized payload to trigger PHP Object Injection, leading to Remote Code Execution on the TYPO3 server. Exploitation requires the content element to be configured with "Persistent Mode: Static" in the plugin settings.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS