CVE-2026-49742
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 - wyżej niż 11% wszystkich znanych CVE
Streszczenie
Użytkownicy backendu z uprawnieniami do pobierania plików mogli pobierać pliki z zapasowego magazynu warstwy abstrakcji plików (FAL) za pośrednictwem modułu multimedialnego. Problem ten może prowadzić do ujawnienia wrażliwych plików, takich jak pliki dziennika.
Ocena ryzyka
Ujawnienie wrażliwych plików może prowadzić do naruszenia bezpieczeństwa danych organizacji oraz potencjalnych ataków na system.
Rekomendacja
Zaleca się aktualizację TYPO3 CMS do najnowszej wersji, aby usunąć tę podatność oraz ograniczenie uprawnień do pobierania plików dla użytkowników backendu.
Oryginalny opis (angielski, źródło NVD)
Backend users with file download permissions were able to download files from the fallback storage of the file abstraction layer (FAL) via the Media Module. Since the fallback storage resolves paths relative to the server's document root, this could expose sensitive files such as log files. This issue affects TYPO3 CMS versions 11.0.0-11.5.50, 12.0.0-12.4.45, 13.0.0-13.4.30 and 14.0.0-14.3.2.

