漏洞概述 漏洞名称: TYPO3-CORE-SA-2026-006: By-passing Cross-Site Scripting Protection in HTML Sanitizer 发布日期: 2026年6月9日 漏洞类型: 跨站脚本(Cross-Site Scripting, XSS) 严重程度: 中等 影响范围 受影响版本: - 10.0.0-10.4.56 - 11.0.0-11.5.50 - 12.0.0-12.4.45 - 13.0.0-13.4.30 - 14.0.0-14.3.2 漏洞描述: - 包允许绕过跨站脚本预防机制。 - 当 启用时,空白符变体闭合标签(如 )不被 sanitizer 识别,但被浏览器接受为有效标签,导致后续内容逃逸 sanitizer。 - 命名空间属性在 HTML 序列化时未正确编码,允许绕过 的跨站脚本预防机制。 修复方案 解决方案: 更新到以下版本以修复问题: - 10.4.57 ELTS - 11.5.51 ELTS - 12.4.46 ELTS - 13.4.31 LTS - 14.3.3 LTS 参考链接 CVE 编号: CVE-2026-47344, CVE-2026-47345 CVSS 评分: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:PVC-N/VI:N/VA:N/SC:L/SI:L/SA:N 一般建议 遵循 TYPO3 安全指南中的建议。 订阅 TYPO3 公告邮件列表。 作者信息 作者: Oliver Hader 职位: TYPO3 GmbH, Hof, Germany 的核心开发者 其他信息 所有与安全相关的代码更改都进行了标记,可以在 review system 中查找。