exploitDog

GHSA-2fhw-2j7m-mr4m

Опубликовано: 09 сент. 2025

Источник: github

Github: Прошло ревью

CVSS4: 5.3

Описание

TYPO3 backend modules have Broken Access Control

Missing authorization checks in the Backend Routing of TYPO3 CMS versions 9.0.0‑9.5.54, 10.0.0‑10.4.53, 11.0.0‑11.5.47, 12.0.0‑12.4.36, and 13.0.0‑13.4.17 allow backend users to directly invoke AJAX backend routes without having access to the corresponding backend modules.

Ссылки

Пакеты

Наименование

typo3/cms-workspaces

composer

Затронутые версииВерсия исправления

>= 9.0.0, < 9.5.55

12.4.37

Наименование

typo3/cms-workspaces

composer

Затронутые версииВерсия исправления

>= 10.0.0, < 10.4.54

12.4.37

Наименование

typo3/cms-workspaces

composer

Затронутые версииВерсия исправления

>= 11.0.0, < 11.5.48

12.4.37

Наименование

typo3/cms-workspaces

composer

Затронутые версииВерсия исправления

>= 12.0.0, < 12.4.37

12.4.37

Наименование

typo3/cms-workspaces

composer

Затронутые версииВерсия исправления

>= 13.0.0, < 13.4.18

13.4.18

Наименование

typo3/cms-recycler

composer

Затронутые версииВерсия исправления

>= 9.0.0, < 9.5.55

12.4.37

Наименование

typo3/cms-recycler

composer

Затронутые версииВерсия исправления

>= 10.0.0, < 10.4.54

12.4.37

Наименование

typo3/cms-recycler

composer

Затронутые версииВерсия исправления

>= 11.0.0, < 11.5.48

12.4.37

Наименование

typo3/cms-recycler

composer

Затронутые версииВерсия исправления

>= 12.0.0, < 12.4.37

12.4.37

Наименование

typo3/cms-recycler

composer

Затронутые версииВерсия исправления

>= 13.0.0, < 13.4.18

13.4.18

Наименование

typo3/cms-dashboard

composer

Затронутые версииВерсия исправления

>= 10.0.0, < 10.4.54

12.4.37

Наименование

typo3/cms-dashboard

composer

Затронутые версииВерсия исправления

>= 11.0.0, < 11.5.48

12.4.37

Наименование

typo3/cms-dashboard

composer

Затронутые версииВерсия исправления

>= 12.0.0, < 12.4.37

12.4.37

Наименование

typo3/cms-dashboard

composer

Затронутые версииВерсия исправления

>= 13.0.0, < 13.4.18

13.4.18

Наименование

typo3/cms-beuser

composer

Затронутые версииВерсия исправления

>= 13.0.0, < 13.4.18

13.4.18

Наименование

typo3/cms-beuser

composer

Затронутые версииВерсия исправления

>= 12.0.0, < 12.4.37

12.4.37

Наименование

typo3/cms-beuser

composer

Затронутые версииВерсия исправления

>= 11.0.0, < 11.5.48

12.4.37

Наименование

typo3/cms-beuser

composer

Затронутые версииВерсия исправления

>= 10.0.0, < 10.4.54

12.4.37

Наименование

typo3/cms-beuser

composer

Затронутые версииВерсия исправления

>= 9.0.0, < 9.5.55

12.4.37

Наименование

typo3/cms-backend

composer

Затронутые версииВерсия исправления

>= 9.0.0, < 9.5.55

12.4.37

Наименование

typo3/cms-backend

composer

Затронутые версииВерсия исправления

>= 10.0.0, < 10.4.54

12.4.37

Наименование

typo3/cms-backend

composer

Затронутые версииВерсия исправления

>= 11.0.0, < 11.5.48

12.4.37

Наименование

typo3/cms-backend

composer

Затронутые версииВерсия исправления

>= 12.0.0, < 12.4.37

12.4.37

Наименование

typo3/cms-backend

composer

Затронутые версииВерсия исправления

>= 13.0.0, < 13.4.18

13.4.18

EPSS

Процентиль: 18%

0.00057

Низкий

5.3 Medium

CVSS4

CVE ID

Дефекты

CWE-862

Связанные уязвимости

CVE-2025-59017

CVSS3: 8.8

nvd

5 месяцев назад

Missing authorization checks in the Backend Routing of TYPO3 CMS versions 9.0.0‑9.5.54, 10.0.0‑10.4.53, 11.0.0‑11.5.47, 12.0.0‑12.4.36, and 13.0.0‑13.4.17 allow backend users to directly invoke AJAX backend routes without having access to the corresponding backend modules.

EPSS

Процентиль: 18%

0.00057

Низкий

5.3 Medium

CVSS4

CVE ID

Дефекты

CWE-862