Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Falsification de requêtes côté serveur (SSRF)
- Élévation de privilèges
Systèmes affectés
- typo3/cms-backend versions 12.4.x antérieures à 12.4.31 pour composer
- typo3/cms-backend versions 13.4.x antérieures à 13.4.12 pour composer
- typo3/cms-core versions 10.4.x antérieures à 10.4.50 pour composer
- typo3/cms-core versions 11.5.x antérieures à 11.5.44 pour composer
- typo3/cms-core versions 12.4.x antérieures à 12.4.31 pour composer
- typo3/cms-core versions 13.4.x antérieures à 13.4.12 pour composer
- typo3/cms-core versions 9.5.x antérieures à 9.5.51 pour composer
- typo3/cms-setup versions 10.4.x antérieures à 10.4.50 pour composer
- typo3/cms-setup versions 11.5.x antérieures à 11.5.44 pour composer
- typo3/cms-setup versions 12.4.x antérieures à 12.4.31 pour composer
- typo3/cms-setup versions 13.4.x antérieures à 13.4.12 pour composer
- typo3/cms-setup versions 9.5.x antérieures à 9.5.51 pour composer
- typo3/cms-webhooks versions 12.4.x antérieures à 12.4.31 pour composer
- typo3/cms-webhooks versions 13.4.x antérieures à 13.4.12 pour composer
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Typo3. Certaines d'entre elles permettent à un attaquant de provoquer une élévation de privilèges, une atteinte à la confidentialité des données et une atteinte à l'intégrité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Typo3 GHSA-3jrg-97f3-rqh9 du 20 mai 2025 https://github.com/TYPO3/typo3/security/advisories/GHSA-3jrg-97f3-rqh9
- Bulletin de sécurité Typo3 GHSA-6frx-j292-c844 du 20 mai 2025 https://github.com/TYPO3/typo3/security/advisories/GHSA-6frx-j292-c844
- Bulletin de sécurité Typo3 GHSA-744g-7qm9-hjh9 du 20 mai 2025 https://github.com/TYPO3/typo3/security/advisories/GHSA-744g-7qm9-hjh9
- Bulletin de sécurité Typo3 GHSA-9hq9-cr36-4wpj du 20 mai 2025 https://github.com/TYPO3/typo3/security/advisories/GHSA-9hq9-cr36-4wpj
- Bulletin de sécurité Typo3 GHSA-p4xx-m758-3hpx du 20 mai 2025 https://github.com/TYPO3/typo3/security/advisories/GHSA-p4xx-m758-3hpx
- Bulletin de sécurité Typo3 GHSA-x8pv-fgxp-8v3x du 20 mai 2025 https://github.com/TYPO3/typo3/security/advisories/GHSA-x8pv-fgxp-8v3x
- Référence CVE CVE-2025-47936 https://www.cve.org/CVERecord?id=CVE-2025-47936
- Référence CVE CVE-2025-47937 https://www.cve.org/CVERecord?id=CVE-2025-47937
- Référence CVE CVE-2025-47938 https://www.cve.org/CVERecord?id=CVE-2025-47938
- Référence CVE CVE-2025-47939 https://www.cve.org/CVERecord?id=CVE-2025-47939
- Référence CVE CVE-2025-47940 https://www.cve.org/CVERecord?id=CVE-2025-47940
- Référence CVE CVE-2025-47941 https://www.cve.org/CVERecord?id=CVE-2025-47941
