typo3/cms-core
typo3/cms-core: Cross-Site Scripting no plugin Indexed Search
Vulnerabilidade de Cross-Site Scripting no plugin Indexed Search: títulos de página com marcação HTML são armazenados no índice de
typo3/cms-core: Falha na verificação de permissão de leitura na área de transferência
Usuários do backend podiam inserir registros e arquivos arbitrários na área de transferência do TYPO3 sem as devidas verificações
typo3/cms-core: Falha na verificação de permissão em rotas da API do Backend permite acesso a metadados de arquivos fora dos mounts permitidos
Usuários autenticados do Backend podiam recuperar metadados de arquivos via rotas da API do Backend sem as devidas verificações de
typo3/cms-core: bypass de verificação de caminho em GeneralUtility::isAllowedAbsPath()
A verificação de caminho em GeneralUtility::isAllowedAbsPath() usava comparação de prefixo de string sem exigir um separador de di
typo3/cms-core: Cache e Registry agora validam desserialização contra Object Injection
O cache frontend (VariableFrontend) e o armazenamento persistente chave-valor (Registry) agora desserializam payloads PHP com vali
typo3/cms-core: Backend users could move records without edit permissions on source page
Backend users could move records to a different page without edit permissions on the source page.
typo3/cms-core: Open redirect via GeneralUtility::sanitizeLocalUrl
Aplicações que usam GeneralUtility::sanitizeLocalUrl estão vulneráveis a ataques de redirecionamento aberto se a URL for usada apó
typo3/cms-core: Restrição de restauração no módulo Recycler corrigida
Usuários do backend com acesso ao módulo Recycler podiam restaurar registros soft-deleted em páginas ou tabelas não autorizadas.
typo3/cms-core: Vulnerabilidade de download de arquivos do armazenamento fallback no Media Module
Usuários do backend com permissões de download de arquivos podiam baixar arquivos do armazenamento fallback da camada de abstração
typo3/cms-core: bypass de upload de definições de formulário com extensões de case misto
Usuários do backend com permissões de escrita podem enviar arquivos de definição de formulário com extensões de case misto (ex.
typo3/cms-core: Bypass de validação e escalada de privilégios no Form Framework
Usuários do backend com acesso de escrita à tabela form_definition podem contornar a validação de persistência e as verificações d
typo3/cms-core: Vulnerabilidade no Form Framework permite execução de SQL arbitrária
Usuários do backend com acesso ao Form Framework podiam usar arquivos que não terminam em .