Source: National Test Institute for Cybersecurity (NTC), mandaté par le National Cyber Security Centre (NCSC) suisse — publication d’un rapport de test d’intrusion et revue de code du CMS TYPO3 (core et 10 extensions), menés de nov. 2024 à fév. 2025.

• Résultats globaux: le noyau TYPO3 montre une posture robuste (2 failles de sévérité faible), tandis que plusieurs extensions présentent davantage de failles, dont 1 vulnérabilité critique. Au total, 8 vulnérabilités: 1 Critique, 1 Haute, 3 Moyennes, 3 Faibles. Les corrections ont été apportées par le projet TYPO3 et les mainteneurs d’extensions, avec publication de correctifs entre mars et mai 2025.

• Vulnérabilité critique (🚨 RCE) — Extension Backup Plus (ns_backup): CVE-2025-9573. Une exécution de commandes système est possible via l’option de sauvegarde (paramètre backuprestore[backupFolderSettings]), concaténée sans validation et transmise à exec(). Impact: exécution de code avec les droits du service web par un utilisateur backend autorisé au module de sauvegarde. Correctif: version 13.0.3 publiée; le rapport détaille l’implémentation fautive et une preuve via Burp Collaborator.

• Autres failles dans Backup Plus:

  • CVE-2025-48201 (Haute): noms de fichiers de sauvegarde prédictibles et accès sans authentification via /uploads/tx_nsbackup/... (types: fichiers core, base de données, vendor). Correctif en 13.0.1 (usage d’un UUID) et recommandations du rapport (répertoires non publics, chiffrement, etc.).
  • CVE-2025-48206 (Moyennes): XSS stocké dans le modal de suppression et dans les logs de sauvegarde en manipulant le nom de sauvegarde. Correctif en 13.0.1 (validation/encodage des données, recommandations d’usage de templating sécurisé et CSP).

• Autres extensions affectées:

  • Modules (codingms/modules): CVE-2025-30083, XSS stocké via le champ « title » à l’inscription utilisateur (backend). Corrigé en 7.0.1 (problème dans une dépendance d’encodage: codingms/additional-tca).
  • Clickstorm SEO (cs_seo): CVE-2025-30081, XSS réfléchi dans /ModuleFile/update via data[sys_file_metadata][12][alternative]. Correctifs: 6.7.0, 7.4.0, 8.3.0, 9.2.0.

• Noyau TYPO3 (faible):

  • CVE-2025-47938: changement de mot de passe admin sans ancien mot de passe, pouvant amplifier l’impact d’un hijacking de session. Correctifs (dont 13.4.12 LTS): introduction d’une vérification d’identité/step-up (sudo mode) pour les changements de mots de passe backend.
  • CVE-2025-47936: CSRF via webhooks permettant d’atteindre des ressources internes (risque de type SSRF par conception). Correctifs (dont 13.4.12 LTS): ajout d’une allowlist non modifiable via GUI pour les cibles de webhooks ($GLOBALS['TYPO3_CONF_VARS']['HTTP']['allowed_hosts']['webhooks']).

• Calendrier et périmètre: tests (nov. 2024 – fév. 2025); notification au 21.02.2025; correctifs jusqu’au 20.05.2025; publication du rapport le 13.10.2025. Les tests ont été menés en white-box (revue de code et tests dynamiques) sur TYPO3 v13/v12/v11 et 10 extensions, avec outils tels que Burp Suite, SonarQube, Snyk et Dalfox. Le rapport souligne que les vulnérabilités ont été corrigées rapidement et peuvent être résolues via mise à jour des paquets concernés.

IOCs:

  • Domaine de test Collaborator observé lors de la preuve d’exécution: tzwlpnj38fhhpkvxdas1hlt9h0nrbnzc.oastify.com (utilisé pour valider l’exécution de curl).

TTPs:

  • Injection de commandes via concaténation non filtrée d’un paramètre utilisateur (backuprestore[backupFolderSettings]) passé à exec().
  • XSS stocké/réfléchi via champs de formulaires et paramètres d’API backend, rendu sans encodage (payload démonstratif: "></script><script src=data:text/javascript,alert(123)></script>).
  • Exfiltration de sauvegardes grâce à noms prédictibles et exposition dans un répertoire public.
  • Webhooks acceptant des URL fournies par l’utilisateur, exposant à des accès à des ressources internes (risque SSRF), résolu par allowlist.

Conclusion: il s’agit d’un rapport de vulnérabilité et d’analyse technique visant à documenter les failles découvertes, leur correction et à améliorer la posture de sécurité de TYPO3 et de ses extensions.

🧠 TTPs et IOCs détectés

TTP

[‘Injection de commandes via concaténation non filtrée d’un paramètre utilisateur (backuprestore[backupFolderSettings]) passé à exec()’, ‘XSS stocké/réfléchi via champs de formulaires et paramètres d’API backend, rendu sans encodage’, ‘Exfiltration de sauvegardes grâce à noms prédictibles et exposition dans un répertoire public’, ‘Webhooks acceptant des URL fournies par l’utilisateur, exposant à des accès à des ressources internes (risque SSRF), résolu par allowlist’]

IOC

[‘Domaine de test Collaborator: tzwlpnj38fhhpkvxdas1hlt9h0nrbnzc.oastify.com’]

🔗 Source originale : https://www.news.admin.ch/en/newnsb/cjnLsBiT8ihUH96Aos1Tw