漏洞概述 漏洞编号: TYPO3-CORE-SA-2026-015 漏洞类型: 后端API中的访问控制失效 发布日期: 2026年6月9日 严重程度: 中等 CVSS评分: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 参考链接: CVE-2026-47352, CWE-862 影响范围 受影响版本: - 10.0.0-10.4.56 - 11.0.0-11.5.50 - 12.0.0-12.4.45 - 13.0.0-13.4.30 - 14.0.0-14.3.2 修复方案 解决方案: 升级到以下版本以修复问题: - 10.4.57 ELTS - 11.5.51 ELTS - 12.4.46 ELTS - 13.4.31 LTS - 14.3.3 LTS 问题描述 已认证的后台用户可以通过几个后端API路由检索文件元数据,而无需适当的权限检查,从而允许访问其允许的文件挂载或存储之外的文件。 一般建议 遵循TYPO3安全指南中的建议,并订阅TYPO3公告邮件列表。 一般备注 所有与安全相关的代码更改都进行了标记,以便您可以在我们的审查系统中轻松查看。 作者信息 作者: Oliver Hader 职位: TYPO3 GmbH, Hof, Germany 的核心开发者 简介: Oliver自2005年开始使用TYPO3,自2007年起成为TYPO3核心团队的一员。他在2014年获得了互联网网络科学的研究生学位,目前研究先进的网络技术主题,特别是针对TYPO3。 页脚信息 版权: © 2026 TYPO3 Association 法律声明: Legal Notice 隐私政策: Privacy Policy 语言选择: Language 社交媒体链接 LinkedIn Instagram Bluesky Mastodon Facebook YouTube 其他信息 TYPO3 Universe: 包含TYPO3 CMS、案例研究、产品和服务、解决方案、合作伙伴等。 社区: 包含社区、会议、获取帮助、贡献等。 项目: 包含项目、TYPO3协会、TYPO3公司、治理与价值观、战略合作等。 更多: 包含扩展、文档、我的TYPO3、获取TYPO3等。 联系我们: 包含LinkedIn、Instagram、Bluesky、Mastodon、Facebook、YouTube等社交媒体链接。 总结 该漏洞涉及TYPO3 CMS后端API中的访问控制失效,影响多个版本。建议用户升级到指定版本以修复问题,并遵循TYPO3安全指南中的建议。