Krytyczna luka PHP Object Injection w TYPO3 (CVE-2026-46725)
Krytyczna luka w TYPO3 umożliwia zdalne wykonanie kodu przez niezweryfikowany plik cookie. Sprawdź zalecenia bezpieczeństwa i działania naprawcze.
- CVSS
- 9.2 CRITICAL
- EPSS
- 81.25%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Rozszerzenie TYPO3 przekazuje niezweryfikowany plik cookie bezpośrednio do funkcji unserialize() w PHP, co umożliwia zdalnemu, nieautoryzowanemu atakującemu wykonanie złośliwego kodu na serwerze. Atak wymaga konfiguracji elementu treści z ustawieniem "Persistent Mode: Static" w wtyczce.
Wpływ biznesowy
Luka pozwala na zdalne wykonanie kodu na serwerze TYPO3, co może prowadzić do przejęcia kontroli nad infrastrukturą, wycieku danych lub zakłócenia działania usług. Organizacje korzystające z podatnej konfiguracji wtyczki są narażone na poważne zagrożenia bezpieczeństwa i potencjalne straty biznesowe.
Rekomendowane działania administratora
Zaleca się natychmiastową weryfikację i aktualizację konfiguracji wtyczki TYPO3, zwłaszcza ustawienia "Persistent Mode". Należy sprawdzić dostępność poprawek od dostawcy, ograniczyć ekspozycję serwera, monitorować logi pod kątem podejrzanej aktywności oraz priorytetyzować działania naprawcze w oparciu o ryzyko.