漏洞概述 漏洞名称: TYPO3-CORE-SA-2026-018: Insecure Deserialization in Core API 发布日期: 2026年6月9日 漏洞类型: 不安全的反序列化 严重程度: 中等 CVSS评分: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:H 参考链接: CVE-2026-49740, CWE-502 问题描述: TYPO3的缓存前端(VariableFrontend)和持久化键值存储(Registry)反序列化PHP负载时没有进行完整性验证或类限制。具有写访问权限的攻击者可以向底层存储后端(缓存存储或sys_registry数据库表)注入一个精心构造的序列化负载,以触发PHP对象注入,潜在地利用 gadget chain 实现远程代码执行或其他高影响效果。 影响范围 受影响版本: 10.0.0-10.4.56 11.0.0-11.5.50 12.0.0-12.4.45 13.0.0-13.4.30 14.0.0-14.3.2 修复方案 解决方案: 升级到TYPO3版本10.4.57 LTS、11.5.51 LTS、12.4.46 LTS、13.4.31 LTS、14.3.3 LTS,这些版本修复了上述问题。 其他信息 一般建议: 遵循TYPO3安全指南中的建议,并订阅typo3-announce邮件列表。 一般说明: 所有与安全相关的代码更改都进行了标记,以便在审查系统中轻松查找。 作者信息 作者: Oliver Hader 职位: TYPO3 GmbH, Hof, Germany 的核心开发者 简介: Oliver自2005年开始与TYPO3合作,自2007年起成为TYPO3核心团队的一员。2014年,他回到大学攻读互联网网络科学的研究生硕士学位,目前专注于高级Web技术的研究,特别是TYPO3。 总结 该漏洞涉及TYPO3 CMS中的不安全反序列化问题,可能导致远程代码执行。受影响版本包括10.0.0至14.3.2之间的多个版本。建议用户尽快升级到修复后的版本以确保系统安全。