В сфере веб-разработки и управления контентом безопасность данных администраторов является критически важной. Между тем, в популярной системе управления контентом (CMS) TYPO3 была обнаружена серьёзная уязвимость, ставящая под угрозу конфиденциальность ключевой информации. Речь идёт об ошибке в механизме изменения паролей, которая приводила к их хранению в открытом, незашифрованном виде в базе данных. Этот инцидент затрагивает все сайты, работающие на уязвимой версии платформы, и требует немедленных действий от администраторов и разработчиков.
Ссылки CVE-2026-6553
Согласно данным, опубликованным в реестре уязвимостей, проблема получила идентификатор CVE-2026-6553 и была оценена как высокорискованная с баллом CVSS 7.3. Уязвимость присутствовала исключительно в версии TYPO3 CMS 14.2.0. Она проявлялась в модуле настроек пользователя в панели администратора (бэкенде). Когда пользователь с правами администратора изменял свой пароль через этот интерфейс, система, вследствие программной ошибки, некорректно обрабатывала данные. Вместо безопасного хранения хэша пароля, она сохраняла его в чистом тексте в двух полях ("uc" и "user_settings") таблицы "be_users" в базе данных.
Техническая суть проблемы заключалась в некорректном смешивании данных сущности, таких как пароль или email, с настройками пользовательского интерфейса, например, темой оформления. Модуль "SetupModuleController" при сохранении изменений не проводил должного разграничения, что и привело к утечке конфиденциальных данных в поля, предназначенные для иной информации. Важно подчеркнуть, что уязвимость активировалась только при изменении пароля именно через указанный модуль в версии 14.2.0; другие версии или способы смены пароля не были затронуты.
Последствия такой уязвимости очевидны и крайне опасны. Любой злоумышленник, получивший доступ к базе данных (например, через эксплуатацию другой уязвимости SQL-инъекции или в результате утечки резервной копии), мгновенно получал в своё распоряжение действующие пароли администраторов системы. Это открывало путь к полному контролю над сайтом: изменению контента, установке вредоносного кода, краже пользовательских данных и дальнейшему проникновению в инфраструктуру. Для компаний, особенно в сфере электронной коммерции или работающих с персональными данными, это могло обернуться миллионными убытками, репутационным ущербом и санкциями со стороны регуляторов.
Разработчики TYPO3 оперативно отреагировали на сообщение об ошибке, поступившее от исследователя Мартина Клевинга. Проблема была полностью устранена в следующем стабильном релизе - версии 14.3.0 LTS (долгосрочная поддержка). Поэтому первостепенной и обязательной мерой для всех пользователей уязвимой версии является немедленное обновление до актуального выпуска 14.3.0 или выше.
Однако, в данном случае простое обновление - это лишь половина работы. Разработчики особо подчёркивают, что установка патча не приводит к автоматической очистке данных, уже сохранённых в базе в открытом виде. Это означает, что старые пароли могут продолжать находиться там, представляя угрозу. Для полного устранения последствий уязвимости необходимы ручные действия. Администраторам требуется выполнить два ключевых шага. Во-первых, в инструменте установки TYPO3 (Install Tool) необходимо запустить все мастера обновления (Upgrade Wizards), связанные с настройками пользователей. Среди них есть специальный мастер "User Settings Scrubbing" (очистка пользовательских настроек), задача которого - найти и обезвредить открытые пароли в полях "uc" и "user_settings". Во-вторых, всем учётным записям администраторов, которые могли быть скомпрометированы, необходимо в обязательном порядке назначить новые, сложные пароли.
Данный инцидент служит наглядным напоминанием о важности строгого следования принципам безопасного программирования, в частности, разделения данных и логики (CWE-312 - хранение конфиденциальной информации в открытом виде). Он также иллюстрирует, что даже в зрелых и надёжных проектах с открытым исходным кодом могут возникать критичные ошибки. Для специалистов по кибербезопасности и администраторов это лишний повод усилить мониторинг активности в базах данных, регулярно проводить аудит систем на предмет хранения чувствительной информации и незамедлительно применять все выпущенные обновления безопасности, не забывая при этом о сопутствующих ручных процедурах, описанных в бюллетенях. Оперативное применение патча и выполнение пост-обновленческих скриптов в данном случае - единственный способ гарантированно закрыть брешь и защитить цифровые активы от потенциального взлома.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-6553
- https://github.com/TYPO3/typo3/security/advisories/GHSA-xvv6-p4wf-mvx7
