Уязвимость набора инструментов для обработки медиафайлов File Abstraction Layer (FAL) системы управления контентом TYPO3 связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать произвольные файлы
Использование рекомендаций:
https://typo3.org/security/advisory/typo3-core-sa-2025-014
После установки обновлений следует настроить новые параметры конфигурации для лучшего контроля за тем, какие файлы разрешены для загрузки, и для улучшения проверок согласованности:
Новый параметр конфигурации $GLOBALS['TYPO3_CONF_VARS']['SYS']['miscfile_ext'] позволяет администраторам явно определять, какие расширения файлов должны быть разрешены, если они еще не являются частью встроенных групп текстовых или медиафайлов — например, форматы архивов, такие как zip или xz .
Кроме того, для повышения безопасности были введены два новых флага функций:
security.system.enforceAllowedFileExtensions , обеспечивает соблюдение определенного списка разрешенных расширений файлов. Этот флаг включен по умолчанию в новых установках TYPO3, но остается отключенным в существующих установках для предотвращения критических изменений.
security.system.enforceFileExtensionMimeTypeConsistency , гарантирует, что расширение загруженного файла соответствует его фактическому типу MIME, обеспечивая дополнительную проверку целостности файла. Этот флаг активен по умолчанию.
Рекомендуется настроить разрешенные расширения файлов с помощью $GLOBALS['TYPO3_CONF_VARS']['SYS']['miscfile_ext'] и включить флаг функции security.system.enforceAllowedFileExtensions для принудительного применения ограничения.
| Балл | 5.5 — средняя опасность |