关键信息 漏洞编号: TYPO3-CORE-SA-2025-012 漏洞类型: Server-Side Request Forgery (SSRF) via Webhooks 受影响版本: - 12.0.0 - 12.4.30 - 13.0.0 - 13.4.11 严重性: Low CVSS评分: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:L 相关CVE和CWE: CVE-2025-47936, CWE-918 问题描述 Webhooks 存在 SSRF 漏洞,攻击者可以利用此漏洞访问内部资源(如 localhost 或本地网络上的其他服务)。虽然这不是 TYPO3 本身的漏洞,但它可能使攻击者能够盲目地访问原本无法访问的系统。需要管理员级别的后端用户账户才能利用此漏洞。 解决方案 更新到以下版本: - TYPO3 12.4.31 LTS - TYPO3 13.4.12 LTS 手动操作要求 为了缓解通过 Webhooks 的潜在 SSRF 风险,建议仅允许受信任主机的访问。这可以通过配置 中的白名单来实现。 如果未定义白名单或设置为 ,所有请求都将被允许。 如果白名单是空数组,所有请求都将被阻止。 默认情况下,工厂设置允许所有请求。这防止现有 Webhooks 在升级到受影响的 TYPO3 版本后失败。管理员必须手动配置此设置以强制执行限制。 致谢 感谢瑞士国家网络安全中心 (NCSC) 报告此问题,以及 TYPO3 核心和安全团队成员 Benjamin Franzke 修复此问题。