Vulnerabilidad en TYPO3 (CVE-2025-47939)

TYPO3 es un sistema de gestión de contenido web de código abierto basado en PHP. Por diseño, el módulo de gestión de archivos de la interfaz de usuario backend de TYPO3 ha permitido históricamente la carga de cualquier tipo de archivo, excepto aquellos que se ejecutan directamente en un servidor web. Esta ausencia de restricciones permite cargar archivos potencialmente dañinos, como binarios ejecutables (p. ej., archivos `.exe`) o archivos con extensiones y tipos MIME inconsistentes (por ejemplo, un archivo con la extensión `.png` incorrecta, pero que en realidad contiene el tipo MIME `application/zip`) a partir de la versión 9.0.0 y anteriores a las versiones 9.5.51 ELTS, 10.4.50 ELTS, 11.5.44 ELTS, 12.4.31 LTS y 13.4.12 LTS. Aunque estos archivos no se ejecutan directamente a través del servidor web, su presencia puede suponer riesgos indirectos. Por ejemplo, servicios de terceros, como antivirus o sistemas de detección de malware, podrían marcar o bloquear el acceso al sitio web a los usuarios finales si se encuentran archivos sospechosos. Esto podría afectar negativamente la disponibilidad o la reputación del sitio. Los usuarios deben actualizar a las versiones 9.5.51 ELTS, 10.4.50 ELTS, 11.5.44 ELTS, 12.4.31 LTS o 13.4.12 LTS de TYPO3 para solucionar el problema.