Множественные уязвимости в TYPO3: угроза удалённого выполнения кода и повышения привилегий

Система управления контентом TYPO3 получила масштабное обновление безопасности. 9 июня 2026 года команда разработчиков опубликовала десять бюллетеней, описывающих уязвимости в версиях CMS, начиная от 10.x и заканчивая свежей веткой 14.x. Среди обнаруженных проблем - критические ошибки контроля доступа, возможность внедрения SQL-кода, удалённое выполнение произвольного кода, а также межсайтовый скриптинг (XSS). Пользователям настоятельно рекомендуется немедленно установить исправления.

Детали уязвимостей

Уязвимости затронули все основные ветки продукта, находящиеся в активной поддержке. В зону риска попали версии 10.x (до 10.4.57), 11.x (до 11.5.51), 12.x (до 12.4.46), 13.x (до 13.4.31) и 14.x (до 14.3.3). Наибольшую опасность представляют проблемы, классифицированные разработчиками как "Высокая" степень риска.

Одна из наиболее серьёзных уязвимостей (CVE-2026-49741) обнаружена в компоненте Form Framework. Аутентифицированные пользователи бэкенда с правами на запись в таблицу "form_definition" могли напрямую создавать и изменять записи через обработчик данных DataHandler, минуя проверки разрешений. Это позволяло внедрять произвольные конфигурации форм и открывало путь к повторной эксплуатации атак, ранее исправленных в обновлении безопасности TYPO3-CORE-SA-2018-003. В случае эксплуатации уязвимости существует риск SQL-инъекции и повышения привилегий, вплоть до создания учётных записей администратора. Проблема затрагивает только версии CMS 14.x.

Другая критическая уязвимость (CVE-2026-49742) связана с модулем Media. Пользователи бэкенда, имеющие разрешения на загрузку файлов, могли получить доступ к файлам из запасного хранилища уровня абстракции файлов (FAL). Поскольку это хранилище разрешает пути относительно корневого каталога веб-сервера, потенциальная атака могла привести к раскрытию конфиденциальных данных, включая файлы журналов и конфигурации. Уязвимости присвоен высокий рейтинг по шкале CVSS v4.

Третья проблема высокого уровня (CVE-2026-11607) также затрагивает Form Framework. Злоумышленники могли использовать файлы, не заканчивающиеся на ".form.yaml", в качестве определений форм. Обработка таких файлов могла привести к выполнению произвольных SQL-запросов и последующему повышению привилегий. Уязвимость присутствует во всех затронутых версиях CMS.

Стоит отдельно отметить уязвимость небезопасной десериализации (CVE-2026-49740). Кэш-интерфейс TYPO3 и постоянное хранилище ключей и значений десериализовали PHP-нагрузки без проверки целостности. Атакующий с локальным доступом к базе данных или файловой системе мог внедрить вредоносный сериализованный объект. В случае эксплуатации уязвимости это могло привести к выполнению произвольного кода. Хотя для этой атаки требуется локальный доступ, её последствия для сопутствующих систем оценены разработчиками как максимально критические.

Среди прочих обнаруженных проблем - уязвимость межсайтового скриптинга (CVE-2026-47348) в компоненте поиска по индексу, а также множественные ошибки контроля доступа в модулях Recycling, Clipboard, Backend API и обработчике данных DataHandler (CVE-2026-47349, CVE-2026-47350, CVE-2026-47351, CVE-2026-47352). Отдельно описана уязвимость (CVE-2026-49738) в проверке путей файловой системы, позволявшая администраторам определять хранилища за пределами корня проекта.

Разработчики TYPO3 выпустили исправленные версии: 10.4.57 ELTS, 11.5.51 ELTS, 12.4.46 ELTS, 13.4.31 LTS и 14.3.3 LTS. Организациям, использующим данную CMS, необходимо срочно обновить систему. Эксплуатация описанных уязвимостей может привести к полной компрометации веб-ресурса, раскрытию конфиденциальных данных и нарушению целостности информации.

Детали уязвимостей

Ссылки