漏洞概述 漏洞名称: TYPO3-CORE-SA-2026-010: Cross-Site Scripting in Indexed Search 发布日期: 2026年6月9日 漏洞类型: 跨站脚本(Cross-site Scripting) 严重程度: 中等 CVSS评分: 4.0 (AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VH:N/SC:N/SI:L/SA:N) 参考链接: CVE-2026-47348, CWE-79 影响范围 受影响版本: 13.0.0-13.4.30, 14.0.0-14.3.2 组件类型: TYPO3 CMS 子组件: Indexed Search (ext:indexed_search) 修复方案 解决方案: 升级到TYPO3版本13.4.31 LTS或14.3.3 LTS以修复上述问题。 问题描述 具有创建或修改页面内容权限的编辑者能够在页面标题中包含HTML标记,这些标记存储在搜索索引中且未经过消毒。当通过Indexed Search插件在前端搜索结果中显示时,这些标题在没有适当输出编码的情况下被渲染,导致跨站脚本漏洞。 一般建议 遵循TYPO3安全指南中的建议,并订阅typo3-announce邮件列表。 一般备注 所有与安全相关的代码更改都进行了标记,以便您可以在我们的审查系统中轻松查找它们。 作者信息 作者: Oliver Hader 职位: TYPO3 GmbH, Hof, Germany的核心开发者 简介: Oliver自2005年开始使用TYPO3,并对该产品及其生态系统着迷。自2007年以来,他是TYPO3核心团队的成员。他在2014年回到大学攻读互联网网络科学的研究生硕士学位,现在研究高级网络技术主题,特别是TYPO3。业余时间,他喜欢在霍夫(德国)北部巴伐利亚地区的山区骑行。 代码块 页面中未包含POC代码或利用代码。