CVE-2024-55924

TYPO3 is a free and open source Content Management Framework. A vulnerability has been identified in the backend user interface functionality involving deep links. Specifically, this functionality is susceptible to Cross-Site Request Forgery (CSRF). Additionally, state-changing actions in downstream components incorrectly accepted submissions via HTTP GET and did not enforce the appropriate HTTP method. Successful exploitation of this vulnerability requires the victim to have an active session on the backend user interface and to be deceived into interacting with a malicious URL targeting the backend, which can occur under the following conditions: The user opens a malicious link, such as one sent via email. The user visits a compromised or manipulated website while the following settings are misconfigured: 1. `security.backend.enforceReferrer` feature is disabled, 2. `BE/cookieSameSite` configuration is set to lax or none. The vulnerability in the affected downstream component “Scheduler Module” allows attackers to trigger pre-defined command classes - which can lead to unauthorized import or export of data in the worst case. Users are advised to update to TYPO3 versions 11.5.42 ELTS which fixes the problem described. There are no known workarounds for this vulnerability.

CVSS v3 8.0 HIGH

8.0^/10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.1 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://github.com/TYPO3/typo3/security/advisories/GHSA-7835-fcv3-g256	Vendor Advisory
https://typo3.org/security/advisory/typo3-core-sa-2025-009	Vendor Advisory

Configurations

Configuration 1 (hide)

cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:*

History

26 Aug 2025, 19:35

Type	Values Removed	Values Added
CPE		cpe:2.3:a:typo3:typo3::::::::
Summary		(es) TYPO3 es un framework gestor de contenidos gratuito y de código abierto. Se ha identificado una vulnerabilidad en la funcionalidad de la interfaz de usuario del backend que involucra enlaces profundos. Específicamente, esta funcionalidad es susceptible a Cross-Site Request Forgery (CSRF). Además, las acciones de cambio de estado en los componentes posteriores aceptaron incorrectamente los envíos a través de HTTP GET y no aplicaron el método HTTP apropiado. La explotación exitosa de esta vulnerabilidad requiere que la víctima tenga una sesión activa en la interfaz de usuario del backend y sea engañada para interactuar con una URL maliciosa dirigida al backend, lo que puede ocurrir bajo las siguientes condiciones: El usuario abre un enlace malicioso, como uno enviado por correo electrónico. El usuario visita un sitio web comprometido o manipulado mientras las siguientes configuraciones están mal configuradas: 1. La función `security.backend.enforceReferrer` está deshabilitada, 2. La configuración `BE/cookieSameSite` está establecida en lax o ninguna. La vulnerabilidad en el componente afectado “Scheduler Module” permite a los atacantes activar clases de comandos predefinidos, lo que puede provocar la importación o exportación no autorizada de datos en el peor de los casos. Se recomienda a los usuarios que actualicen a la versión 11.5.42 ELTS de TYPO3, que soluciona el problema descrito. No se conocen Workarounds para esta vulnerabilidad.
References	~~() https://github.com/TYPO3/typo3/security/advisories/GHSA-7835-fcv3-g256 -~~	() https://github.com/TYPO3/typo3/security/advisories/GHSA-7835-fcv3-g256 - Vendor Advisory
References	~~() https://typo3.org/security/advisory/typo3-core-sa-2025-009 -~~	() https://typo3.org/security/advisory/typo3-core-sa-2025-009 - Vendor Advisory
First Time		Typo3 typo3 Typo3

14 Jan 2025, 20:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-01-14 20:15

Updated : 2025-08-26 19:35

NVD link : CVE-2024-55924

Mitre link : CVE-2024-55924

CVE.ORG link : CVE-2024-55924

JSON object : View

Products Affected

typo3

typo3

CWE

CWE-352

Cross-Site Request Forgery (CSRF)

CWE-749

Exposed Dangerous Method or Function

8.0 /10