### 关键信息 **1. 漏洞类型** ``` [SECURITY] Hardening message deserialization in FileSpool transport ``` **2. 漏洞描述** - **问题**: 序列化消息使用了延迟传输的 `FileSpool` 传输,导致序列化队列消息接受除了 `SentMessage` 类之外的相关类。解序列化中存在的安全措施完全没有效果。 - **修复**: 修复后,所有显式允许的类现在正确配置为 `unserialize` 命令。但在当前实施的各种范围相关类中,很难列出所有允许的类。 - **改进**: 引入新的 `PolymorphicDeserializer` 组件,通过检查序列化负载来限制解序列化。 **3. 漏洞影响版本** ``` Resolves: #108610 Releases: main, 14.0, 13.4.5, 12.4.6 Change-Id: I32db2d7f0ff46d51d15c76e61296c0ef8ac6e23c Security-Bulletin: TYPO3-CORE-SA-2026-084 Security-References: CVE-2026-0859 ``` **4. 补丁详情** - **提交ID**: `722bf71` - **提交者**: `elishaeusser` - **提交时间**: `last week` **5. 安全更新** ``` CVE-2026-0859 TYPO3-CORE-SA-2026-084 ``` **6. 已修改文件** ``` 6 files changed +358 -20 lines changed ``` 实际改动的代码未完全给出,但从上述描述中可以看到,主要是为了防止通过序列化/反序列化操作注入恶意代码,增强了安全性和检测能力。