重要情報 脆弱性 ID: TYPO3-CORE-SA-2025-013 脆弱性の種類: 未検証のパスワード変更(Unverified Password Change) 影響を受けるコンポーネント: TYPO3 CMS サブコンポーネント: DataHandler および Setup Module (ext:core, ext:setup) 公開日: 2025年5月20日 脆弱性の分類: 安全設定エラー(Security Misconfiguration) 影響を受けるバージョン: - 9.0.0-9.5.50 - 10.0.0-10.4.49 - 11.0.0-11.5.43 - 12.0.0-12.4.30 - 13.0.0-13.4.11 深刻度: 低 推奨 CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:A/N 参照番号: CVE-2025-47938, CWE-620 問題の説明 バックエンドのユーザー管理インターフェースでは、現在のパスワードの確認を行うことなくパスワードの変更が可能です。管理者が管理インターフェースを通じて自身のアカウントを更新したり、他のユーザーアカウントを修正したりする際、現在のパスワードの確認が要求されません。 この動作により、特に管理者のセッションがハイジャックされた場合や、セッションが放置された場合に、不正アクセスからの保護が低下する可能性があります。これは、追加の認証なしにパスワードを変更できるためです。 解決策 以下のバージョンにアップグレードして本問題を修正してください: 9.5.51 ELTS 10.4.50 ELTS 11.5.44 ELTS 12.4.31 LTS 13.4.12 LTS これらのバージョンでは、バックエンドのユーザーのパスワードを変更する際、管理者は段階的認証(sudoモードとしても知られる)を使用して本人確認を行う必要があります。 謝辞 本問題を報告してくれたスイス連邦国家サイバーセキュリティセンター(NCSC)に感謝します。また、本問題を修正してくれた TYPO3 コアおよびセキュリティチームのメンバーである Benjamin Franzke に感謝します。