Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en TYPO3 (CVE-2025-24856)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/03/2025
Última modificación:
16/03/2025

Descripción

Se descubrió un problema en la extensión oidc (también conocida como Autenticación de OpenID Connect) anterior a la versión 4.0.0 para TYPO3. La lógica de vinculación de cuentas permite un ataque de presecuestro, lo que conlleva la apropiación de cuentas. El ataque solo puede explotarse si se cumplen los siguientes requisitos: (1) un atacante puede anticipar la dirección de correo electrónico del usuario; (2) un atacante puede registrar una cuenta de usuario pública en la interfaz de usuario con esa dirección de correo electrónico antes del primer inicio de sesión del usuario en OIDC; y (3) el IDP devuelve un campo de correo electrónico con la dirección de correo electrónico del usuario.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.20 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
4.20
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información