CVE-2025-59020 (CNNVD-202601-2305)
中文标题:
TYPO3 CMS 安全漏洞
英文标题:
TYPO3 CMS Allows Broken Access Control in Edit Document Controller
漏洞描述
中文描述:
TYPO3 CMS是TYPO3开源的一个内容管理系统。 TYPO3 CMS存在安全漏洞,该漏洞源于利用defVals参数可绕过字段级访问检查,可能导致向数据库表禁止的排除字段插入任意数据。以下版本受到影响:10.0.0版本至10.4.54版本、11.0.0版本至11.5.48版本、12.0.0版本至12.4.40版本、13.0.0版本至13.4.22版本和14.0.0版本至14.0.1版本。
英文描述:
By exploiting the defVals parameter, attackers could bypass field‑level access checks during record creation in the TYPO3 backend. This gave them the ability to insert arbitrary data into prohibited exclude fields of a database table for which the user already has write permission for a reduced set of fields. This issue affects TYPO3 CMS versions 10.0.0-10.4.54, 11.0.0-11.5.48, 12.0.0-12.4.40, 13.0.0-13.4.22 and 14.0.0-14.0.1.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| TYPO3 | TYPO3 CMS | - | < 10.4.55 | - |
cpe:2.3:a:typo3:typo3_cms:*:*:*:*:*:*:*:*
|
| typo3 | typo3 | * | - | - |
cpe:2.3:a:typo3:typo3:*:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
CVSS评分详情
4.0 (cna)
MEDIUMCVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2025-59020 |
2026-01-14 02:21:30 | 2026-01-14 06:07:45 |
| NVD | nvd_CVE-2025-59020 |
2026-01-14 03:00:12 | 2026-01-14 06:14:34 |
| CNNVD | cnnvd_CNNVD-202601-2305 |
2026-01-15 01:52:30 | 2026-01-15 01:53:20 |
版本与语言
安全公告
变更历史
查看详细变更
- affected_products_count: 1 -> 2
查看详细变更
- vulnerability_type: 未提取 -> 其他
- cnnvd_id: 未提取 -> CNNVD-202601-2305
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- affected_products_count: 5 -> 1
- data_sources: ['cve'] -> ['cve', 'nvd']