Krytyczna luka PHP Object Injection w TYPO3 (CVE-2026-46725)

Krytyczna luka w TYPO3 umożliwia zdalne wykonanie kodu przez niezweryfikowany plik cookie. Sprawdź zalecenia bezpieczeństwa i działania naprawcze.
CVE-2026-46725CVSS 9.2Web

Krytyczna luka PHP Object Injection w TYPO3 (CVE-2026-46725)

Krytyczna luka w TYPO3 umożliwia zdalne wykonanie kodu przez niezweryfikowany plik cookie. Sprawdź zalecenia bezpieczeństwa i działania naprawcze.

CVSS
9.2 CRITICAL
EPSS
81.25%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Rozszerzenie TYPO3 przekazuje niezweryfikowany plik cookie bezpośrednio do funkcji unserialize() w PHP, co umożliwia zdalnemu, nieautoryzowanemu atakującemu wykonanie złośliwego kodu na serwerze. Atak wymaga konfiguracji elementu treści z ustawieniem "Persistent Mode: Static" w wtyczce.

Wpływ biznesowy

Luka pozwala na zdalne wykonanie kodu na serwerze TYPO3, co może prowadzić do przejęcia kontroli nad infrastrukturą, wycieku danych lub zakłócenia działania usług. Organizacje korzystające z podatnej konfiguracji wtyczki są narażone na poważne zagrożenia bezpieczeństwa i potencjalne straty biznesowe.

Rekomendowane działania administratora

Zaleca się natychmiastową weryfikację i aktualizację konfiguracji wtyczki TYPO3, zwłaszcza ustawienia "Persistent Mode". Należy sprawdzić dostępność poprawek od dostawcy, ograniczyć ekspozycję serwera, monitorować logi pod kątem podejrzanej aktywności oraz priorytetyzować działania naprawcze w oparciu o ryzyko.

Źródła