Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en TYPO3 (CVE-2025-24856)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/03/2025
Última modificación:
16/03/2025

Descripción

Se descubrió un problema en la extensión oidc (también conocida como Autenticación de OpenID Connect) anterior a la versión 4.0.0 para TYPO3. La lógica de vinculación de cuentas permite un ataque de presecuestro, lo que conlleva la apropiación de cuentas. El ataque solo puede explotarse si se cumplen los siguientes requisitos: (1) un atacante puede anticipar la dirección de correo electrónico del usuario; (2) un atacante puede registrar una cuenta de usuario pública en la interfaz de usuario con esa dirección de correo electrónico antes del primer inicio de sesión del usuario en OIDC; y (3) el IDP devuelve un campo de correo electrónico con la dirección de correo electrónico del usuario.