Уязвимость расширения Webhooks системы управления контентом TYPO3 связана с недостаточной проверкой запросов на стороне сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку
Использование рекомендаций:
https://typo3.org/security/advisory/typo3-core-sa-2025-012
Для снижения потенциальных рисков SSRF-атаки через веб-перехватчики рекомендуется разрешить доступ только доверенным хостам. Этого можно добиться, настроив список разрешенных в $GLOBALS['TYPO3_CONF_VARS']['HTTP']['allowed_hosts']['webhooks'] .
Если список разрешенных не определен или установлен в null , все запросы будут разрешены.
Если список разрешенных представляет собой пустой массив , все запросы будут заблокированы.
По умолчанию заводская настройка разрешает все запросы. Это предотвращает сбой существующих веб-перехватчиков после обновления до затронутых версий TYPO3. Администраторы должны вручную настроить этот параметр, чтобы обеспечить соблюдение ограничений.
| Балл | 3.6 — средняя опасность |