Multiple critical vulnerabilities in several TYPO3 extensions, including ceselector, tt_address, ke_search, news, sf_register, and crawler, allow remote attackers to execute arbitrary code, perform SQL injection, disclose information, and bypass security measures. The CVSS base score for these vulnerabilities is 9.8 (Critical). Affected versions are listed as specific ranges for each extension, such as ceselector versions prior to 6.0.1, 5.0.1, 4.0.2, and 3.0.3. A mitigation is available, though the article does not specify the exact patched versions or a detailed workaround.
[WID-SEC-2026-1585] TYPO3 Extensions: Mehrere Schwachstellen CVSS Base Score 9.8 (kritisch) CVSS Temporal Score 8.5 (hoch) Remoteangriff ja Datum 18.05.2026 Stand 19.05.2026 Mitigation ja Betroffene Systeme Betriebssystem Linux UNIX Windows Produktbeschreibung TYPO3 ist ein freies Content-Management-System, basierend auf der Scriptsprache PHP und einer SQL-Datenbank. Über zahlreiche Extensions kann der Funktionsumfang der Core-Installation individuell erweitert werden. Produkte 18.05.2026 TYPO3 Extension ceselector <6.0.1 TYPO3 Extension ceselector <5.0.1 TYPO3 Extension ceselector <4.0.2 TYPO3 Extension ceselector <3.0.3 TYPO3 Extension tt_address <10.0.1 TYPO3 Extension tt_address <9.1.1 TYPO3 Extension tt_address <8.1.2 TYPO3 Extension ke_search <7.0.1 TYPO3 Extension ke_search <6.6.1 TYPO3 Extension ke_search <5.6.2 TYPO3 Extension news <14.0.3 TYPO3 Extension news <13.0.2 TYPO3 Extension news <12.3.2 TYPO3 Extension news <11.4.4 TYPO3 Extension sf_register <14.0.2 TYPO3 Extension sf_register <13.2.4 TYPO3 Extension crawler <12.0.11 TYPO3 Extension crawler <11.0.13 Angriff Angriff Ein Angreifer kann mehrere Schwachstellen in TYPO3 Extensions ausnutzen, um beliebigen Programmcode auszuführen, um einen SQL-Injection Angriff durchzuführen, um Informationen offenzulegen, und um Sicherheitsvorkehrungen zu umgehen. CVE Informationen Versionshistorie Feedback zum Advisory geben