漏洞概述 漏洞名称: TYPO3-CORE-SA-2026-013: Broken Access Control in Media Module 发布日期: 2026年6月9日 严重程度: 高 CVSS评分: 4.0 (AV:N/AC:L/AT:N/PRI:U/IN:VC:H/Vi:N/VA:N/SC:N/Si:N/SA:N) CVE编号: CVE-2026-49742 CWE编号: CWE-22, CWE-200 影响范围 受影响版本: - 11.0.0-11.5.50 - 12.0.0-12.4.45 - 13.0.0-13.4.30 - 14.0.0-14.3.2 修复方案 解决方案: 升级到修复该问题的TYPO3版本,包括11.5.51 LTS、12.4.46 LTS、13.4.31 LTS、14.3.3 LTS。 问题描述 后端用户通过文件下载权限能够从文件抽象层(FAL)的后备存储中下载文件。由于后备存储解析相对于服务器文档根目录的路径,这可能会暴露敏感文件,如日志文件。 一般建议 遵循TYPO3安全指南中的建议,并订阅TYPO3公告邮件列表。 一般备注 所有与安全相关的代码更改都已标记,以便在审查系统中轻松查找。 作者信息 作者: Oliver Hader 职位: TYPO3 GmbH, Hof, Germany 的核心开发者 简介: Oliver自2005年开始使用TYPO3,2007年成为TYPO3核心团队的一员。他在2014年完成互联网网络科学的研究生学位后,专注于高级Web技术的研究。业余时间喜欢骑行。 页脚信息 版权: © 2026 TYPO3 Association 法律声明: Legal Notice, Privacy Policy 语言选择: Language 代码块 页面中未包含POC代码或利用代码。