漏洞概述 漏洞名称: TYPO3-CORE-SA-2026-019: Broken Access Control in Form Framework 发布日期: 2026年6月9日 漏洞类型: 访问控制失效 严重程度: 高 CVSS评分: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N 参考链接: CVE-2026-11607, CWE-862 影响范围 受影响版本: 10.0.0-10.4.56, 11.0.0-11.5.50, 12.0.0-12.4.45, 13.0.0-13.4.30, 14.0.0-14.3.2 修复方案 解决方案: 升级到修复该问题的TYPO3版本,包括10.4.57 ELTS, 11.5.51 ELTS, 12.4.46 ELTS, 13.4.31 LTS, 14.3.3 LTS。 问题描述 后端用户能够使用不以 结尾的文件作为表单定义,这些文件在处理时不会被拒绝。恶意构造的表单定义文件可用于执行任意SQL语句,允许攻击者通过创建管理后台用户账户来提权。 一般建议 遵循TYPO3安全指南中的建议。 订阅typo3-announce邮件列表。 一般备注 所有与安全相关的代码更改都进行了标记,以便在审查系统中轻松查找。 作者信息 作者: Oliver Hader 职位: TYPO3 GmbH, Hof, Germany的核心开发者 简介: Oliver自2005年开始使用TYPO3,2007年成为TYPO3核心团队成员。2014年完成互联网网络科学的研究生学位后,继续研究高级Web技术主题。业余时间喜欢骑行。 页脚信息 版权: © 2026 TYPO3 Association. 法律声明: Legal Notice, Privacy Policy 社交媒体: LinkedIn, Instagram, Bluesky, Mastodon, Facebook, YouTube 语言选择 语言: Language (选择语言) --- 总结完毕