Описание
TYPO3's mail‑file spool deserialization flaw lets local users with write access to the spool directory craft a malicious file that is deserialized during the mailer:spool:send command, enabling arbitrary PHP code execution on the web server. This issue affects TYPO3 CMS versions 10.0.0-10.4.54, 11.0.0-11.5.48, 12.0.0-12.4.40, 13.0.0-13.4.22 and 14.0.0-14.0.1.
Ссылки
- Patch
- Patch
- Patch
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия от 10.0.0 (включая) до 10.4.55 (исключая)Версия от 11.0.0 (включая) до 11.5.49 (исключая)Версия от 12.0.0 (включая) до 12.4.41 (исключая)Версия от 13.0.0 (включая) до 13.4.23 (исключая)Версия от 14.0.0 (включая) до 14.0.2 (исключая)
Одно из
cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:*
cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:*
cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:*
cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:*
cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:*
EPSS
Процентиль: 5%
0.00023
Низкий
7.8 High
CVSS3
Дефекты
CWE-502
Связанные уязвимости
github
24 дня назад
TYPO3 CMS Allows Insecure Deserialization via Mailer File Spool
EPSS
Процентиль: 5%
0.00023
Низкий
7.8 High
CVSS3
Дефекты
CWE-502