CVE-2026-47347
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
Aplikacje wykorzystujące GeneralUtility::sanitizeLocalUrl do zezwalania tylko na lokalne adresy URL są podatne na ataki typu open redirect, jeśli adres URL jest używany po przejściu przez wspomniane kontrole sanitizacji. Umożliwia to atakującym przekierowywanie użytkowników do zewnętrznych treści i przeprowadzanie ataków phishingowych.
Ocena ryzyka
Organizacje mogą być narażone na ataki phishingowe, które mogą prowadzić do kradzieży danych użytkowników oraz utraty zaufania do aplikacji. Wykorzystanie tej podatności może skutkować poważnymi konsekwencjami finansowymi i reputacyjnymi.
Rekomendacja
Zaleca się aktualizację TYPO3 CMS do wersji 10.4.57, 11.5.50, 12.4.45, 13.4.30 lub 14.3.2, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu zidentyfikowania i naprawienia innych potencjalnych luk.
Oryginalny opis (angielski, źródło NVD)
Applications that use GeneralUtility::sanitizeLocalUrl to allow only local URLs are vulnerable to open redirect attacks if the URL is used after it has passed the aforementioned sanitization checks. This enables attackers to redirect users to external content and carry out phishing attacks. This issue affects TYPO3 CMS versions before 10.4.57, 11.0.0-11.5.50, 12.0.0-12.4.45, 13.0.0-13.4.30 and 14.0.0-14.3.2.

