ГлавнаяБаза уязвимостей БДУ → BDU:2025-06005
5.5средняя

BDU:2025-06005

Уязвимость набора инструментов для обработки медиафайлов File Abstraction Layer (FAL) системы управления контентом TYPO3, позволяющая нарушителю загружать произвольные файлы
Опубликовано: 2025-05-27
Описание

Уязвимость набора инструментов для обработки медиафайлов File Abstraction Layer (FAL) системы управления контентом TYPO3 связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать произвольные файлы

Затрагиваемое ПО и версии
TYPO3 (от 11.0.0 до 11.5.43 включительно)TYPO3 (от 12.0.0 до 12.4.30 включительно)TYPO3 (от 13.0.0 до 13.4.11 включительно)TYPO3 (от 9.0.0 до 9.5.50 включительно)TYPO3 (от 10.0.0 до 10.4.49 включительно)
Способ устранения

Использование рекомендаций:
https://typo3.org/security/advisory/typo3-core-sa-2025-014

После установки обновлений следует настроить новые параметры конфигурации для лучшего контроля за тем, какие файлы разрешены для загрузки, и для улучшения проверок согласованности:
Новый параметр конфигурации $GLOBALS['TYPO3_CONF_VARS']['SYS']['miscfile_ext'] позволяет администраторам явно определять, какие расширения файлов должны быть разрешены, если они еще не являются частью встроенных групп текстовых или медиафайлов — например, форматы архивов, такие как zip или xz .
Кроме того, для повышения безопасности были введены два новых флага функций:
security.system.enforceAllowedFileExtensions , обеспечивает соблюдение определенного списка разрешенных расширений файлов. Этот флаг включен по умолчанию в новых установках TYPO3, но остается отключенным в существующих установках для предотвращения критических изменений.
security.system.enforceFileExtensionMimeTypeConsistency , гарантирует, что расширение загруженного файла соответствует его фактическому типу MIME, обеспечивая дополнительную проверку целостности файла. Этот флаг активен по умолчанию.
Рекомендуется настроить разрешенные расширения файлов с помощью $GLOBALS['TYPO3_CONF_VARS']['SYS']['miscfile_ext'] и включить флаг функции security.system.enforceAllowedFileExtensions для принудительного применения ограничения.

Оценка CVSS
Балл5.5 — средняя опасность
Источники и патчи
https://github.com/TYPO3/typo3/security/advisories/GHSA-9hq9-cr36-4wpjhttps://typo3.org/security/advisory/typo3-core-sa-2025-014https://docs.typo3.org/m/typo3/reference-coreapi/main/en-us/ApiOverview/Fal/Index.html
Проверьте безопасность своего сайта и почты → Полная проверка домена