php · typo3/cms-coreCrítico
typo3/cms-core: bypass de upload de definições de formulário com extensões de case misto
Usuários do backend com permissões de escrita podem enviar arquivos de definição de formulário com extensões de case misto (ex.
O que mudou
Usuários do backend com permissões de escrita podem enviar arquivos de definição de formulário com extensões de case misto (ex.: .FORM.YAML) para burlar restrições de upload, permitindo execução de instruções SQL arbitrárias e escalada de privilégio para criar contas de administrador.
Quem isso afeta
TYPO3 CMS versões 10.4.57 ELTS, 11.5.51 ELTS, 12.4.46 ELTS, 13.4.31 LTS, 14.3.3 LTS e anteriores.
O que fazer hoje
Atualize imediatamente para TYPO3 versões 10.4.57 ELTS, 11.5.51 ELTS, 12.4.46 ELTS, 13.4.31 LTS ou 14.3.3 LTS.
A esteira
Coletado→
Auditado→
Redigido→
Publicado