关键信息 漏洞编号: TYPO3-CORE-SA-2025-013 漏洞类型: 未验证的密码更改(Unverified Password Change) 影响组件: TYPO3 CMS 子组件: DataHandler & Setup Module (ext:core, ext:setup) 发布日期: 2025年5月20日 漏洞类型: 安全配置错误(Security Misconfiguration) 受影响版本: - 9.0.0-9.5.50 - 10.0.0-10.4.49 - 11.0.0-11.5.43 - 12.0.0-12.4.30 - 13.0.0-13.4.11 严重性: 低 建议CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:A/N 参考编号: CVE-2025-47938, CWE-620 问题描述 后台用户管理界面允许在不验证当前密码的情况下更改密码。当管理员通过管理界面更新自己的账户或修改其他用户账户时,不会要求验证当前密码。 这种行为可能会降低未经授权访问的保护,特别是在管理员会话被劫持或无人看管的情况下,因为它允许在没有额外身份验证的情况下更改密码。 解决方案 升级到以下版本以修复此问题: 9.5.51 ELTS 10.4.50 ELTS 11.5.44 ELTS 12.4.31 LTS 13.4.12 LTS 在这些版本中,管理员在更改后台用户密码时需要通过逐步身份验证(也称为sudo模式)来验证其身份。 致谢 感谢瑞士国家网络安全中心(NCSC)报告此问题,并感谢TYPO3核心和安全团队成员Benjamin Franzke修复此问题。