ГлавнаяБаза уязвимостей БДУ → BDU:2025-05949
3.6средняя

BDU:2025-05949

Уязвимость расширения Webhooks системы управления контентом TYPO3, позволяющая нарушителю осуществить SSRF-атаку
Опубликовано: 2025-05-27
Описание

Уязвимость расширения Webhooks системы управления контентом TYPO3 связана с недостаточной проверкой запросов на стороне сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку

Затрагиваемое ПО и версии
TYPO3 (от 12.0.0 до 12.4.31)TYPO3 (от 13.0.0 до 13.4.12)
Способ устранения

Использование рекомендаций:
https://typo3.org/security/advisory/typo3-core-sa-2025-012

Для снижения потенциальных рисков SSRF-атаки через веб-перехватчики рекомендуется разрешить доступ только доверенным хостам. Этого можно добиться, настроив список разрешенных в $GLOBALS['TYPO3_CONF_VARS']['HTTP']['allowed_hosts']['webhooks'] .

Если список разрешенных не определен или установлен в null , все запросы будут разрешены.
Если список разрешенных представляет собой пустой массив , все запросы будут заблокированы.

По умолчанию заводская настройка разрешает все запросы. Это предотвращает сбой существующих веб-перехватчиков после обновления до затронутых версий TYPO3. Администраторы должны вручную настроить этот параметр, чтобы обеспечить соблюдение ограничений.

Оценка CVSS
Балл3.6 — средняя опасность
Источники и патчи
https://docs.typo3.org/m/typo3/reference-coreapi/main/en-us/ApiOverview/Webhooks/Index.htmlhttps://github.com/TYPO3/typo3/security/advisories/GHSA-p4xx-m758-3hpxhttps://typo3.org/security/advisory/typo3-core-sa-2025-012
Проверьте безопасность своего сайта и почты → Полная проверка домена