关键漏洞信息 漏洞概述 漏洞类型: 无限制文件上传 影响模块: 文件抽象层 (File Abstraction Layer) CVE ID: CVE-2025-47939 GHSA ID: GHSA-9hq9-cr36-4wpj 影响版本与修复版本 受影响版本: - (Composer): 9.0.0-9.5.50, 10.0.0-10.4.49, 11.0.0-11.5.43, 12.0.0-12.4.30, 13.0.0-13.4.11 已修复版本: - 9.5.51 ELTS, 10.4.50 ELTS, 11.5.44 ELTS, 12.4.31 LTS, 13.4.12 LTS 漏洞描述 问题: TYPO3 后端用户界面的文件管理模块允许上传任何类型的文件,除了直接在 Web 服务器上下文中可执行的文件。这可能导致潜在危险的文件(如可执行二进制文件或 MIME 类型不一致的文件)被上传。 风险: 虽然这些文件不能直接通过 Web 服务器执行,但它们的存在可能引入间接风险,例如第三方服务可能会标记或阻止访问包含可疑文件的网站。 解决方案 更新到修复版本: 更新到上述已修复版本以解决该问题。 配置选项: 引入新配置选项 来明确指定允许上传的文件扩展名,并启用 和 功能标志以增强安全性。 其他信息 严重性: 中等 (CVSS v3 基础分数: 5.4/10) 报告者: Hamed Kohi 修复者: TYPO3 核心和安全团队成员 Oliver Hader