Actualización de seguridad de TYPO3 13.4.18, 12.4.37
El equipo de seguridad de TYPO3 ha publicado hoy nuevas versiones de TYPO3. Estas cierran siete brechas de seguridad.
TYPO3-CORE-SA-2025-017: Open Redirect en TYPO3 CMS
Componente afectado: TYPO3 CMS
Gravedad: media
Versiones de TYPO3 afectadas: 9.0.0-9.5.54, 10.0.0-10.4.53, 11.0.0-11.5.47, 12.0.0-12.4.36, 13.0.0-13.4.17
Detalles: TYPO3 comprueba las redirecciones para direcciones locales, pero los atacantes pueden saltarse esta comprobación y redirigir a los usuarios a sitios externos. Esto permite realizar ataques de phishing u otras manipulaciones.
TYPO3-CORE-SA-2025-018: Denegación de servicio en TYPO3 Bookmark Toolbar
Componente afectado: TYPO3 CMS
Gravedad: media
Versiones de TYPO3 afectadas: 11.0.0-11.5.47, 12.0.0-12.4.36, 13.0.0-13.4.17
Detalles: La manipulación de datos en la barra de marcadores del backend de TYPO3 puede provocar que el backend deje de ser utilizable. Esto bloquea el acceso a los usuarios afectados, pero requiere una cuenta de administrador.
TYPO3-CORE-SA-2025-019: Entropía insuficiente en la generación de contraseñas
Componente afectado: TYPO3 CMS
Gravedad: media
Versiones TYPO3 afectadas: 12.0.0-12.4.36, 13.0.0-13.4.17
Detalles: La generación automática de contraseñas crea contraseñas con un comienzo predecible. Como resultado, las contraseñas generadas son menos seguras de lo esperado.
TYPO3-CORE-SA-2025-020: Revelación de información a través de la capa de abstracción de archivos
Componente afectado: TYPO3 CMS
Gravedad: media
Versiones de TYPO3 afectadas: 9.0.0-9.5.54, 10.0.0-10.4.53, 11.0.0-11.5.47, 12.0.0-12.4.36, 13.0.0-13.4.17
Detalles: Si ciertas operaciones de archivo fallan, se revela la ubicación completa del archivo. Esto requiere un acceso backend válido.
TYPO3-CORE-SA-2025-021: Control de acceso roto en rutas AJAX de backend
Componente afectado: TYPO3 CMS
Gravedad: media
Versiones TYPO3 afectadas: 9.0.0-9.5.54, 10.0.0-10.4.53, 11.0.0-11.5.47, 12.0.0-12.4.36, 13.0.0-13.4.17
Detalles: Algunas interfaces AJAX del backend no comprobaban correctamente los derechos de los usuarios. Como resultado, los usuarios conectados podían leer, cambiar o borrar datos incluso sin los derechos de módulo necesarios.
TYPO3-CORE-SA-2025-022: Revelación de información en el módulo Workspaces
Componente afectado: TYPO3 CMS
Gravedad: alta
Versiones de TYPO3 afectadas: 9.0.0-9.5.54, 10.0.0-10.4.53, 11.0.0-11.5.47, 12.0.0-12.4.36, 13.0.0-13.4.17
Detalles: Una interfaz AJAX insegura en el módulo Workspaces permitía a los usuarios registrados recuperar datos de tablas de bases de datos arbitrarias. Esto hacía posible acceder a información sensible sin tener los derechos necesarios.
TYPO3-CORE-SA-2025-023: Divulgación de información mediante descarga de CSV
Componente afectado: TYPO3 CMS
Gravedad: media
Versiones de TYPO3 afectadas: 11.0.0-11.5.47, 12.0.0-12.4.36, 13.0.0-13.4.17
Detalles: La exportación CSV en el backend carecía de una comprobación de derechos. Esto permitía a los usuarios registrados descargar datos de tablas de bases de datos a las que no deberían tener acceso, sino sólo dentro de su propio árbol de páginas.
