プラットフォーム
php
コンポーネント
typo3/cms-webhooks
修正版
12.0.1
13.0.1
12.4.31
CVE-2025-47936は、typo3/cms-webhooksにおいて発生するサーバーサイドリクエストフォージェリ(SSRF)の脆弱性です。SSRFは、攻撃者がサーバーを介して任意の内部リソースにアクセスできる可能性があります。この脆弱性は、TYPO3自体ではなく、Webhooksの設計上の問題に起因します。影響を受けるバージョンは、typo3/cms-webhooks 12.4.9以下です。バージョン12.4.31以降にアップデートすることで、この脆弱性を修正できます。
このSSRF脆弱性を悪用されると、攻撃者はTYPO3 CMSのWebhooks機能を通じて、内部ネットワーク上の機密情報にアクセスしたり、他の内部サービスを攻撃したりする可能性があります。例えば、攻撃者はlocalhostや他の内部IPアドレスに対してリクエストを送信し、それらのサービスが認証なしでアクセス可能な場合、機密データを窃取したり、設定を変更したりする可能性があります。攻撃者は、Webhooksの設定を悪用して、内部ネットワークの他のシステムへの攻撃の足がかりとして利用する可能性があります。この脆弱性の影響範囲は、内部ネットワークのセキュリティレベルに依存します。
この脆弱性は、2025年5月20日に公開されました。現時点では、公開されているPoC(Proof of Concept)は確認されていませんが、SSRF脆弱性は一般的に悪用が容易であり、今後悪用される可能性があります。CISA KEVカタログへの登録状況は不明です。攻撃者は、TYPO3 CMSを運用している組織を標的とし、この脆弱性を悪用して内部ネットワークへの侵入を試みる可能性があります。
Organizations using TYPO3 CMS with the cms-webhooks component installed and configured, particularly those with administrator-level user accounts and exposed internal services, are at risk. Shared hosting environments where multiple TYPO3 instances share the same server resources are also at increased risk.
• php: Examine TYPO3 webhook configurations for suspicious URLs or internal resource references. Use grep to search for patterns indicative of SSRF attempts in TYPO3 logs.
• generic web: Monitor access logs for unusual outbound requests originating from the TYPO3 server, particularly those targeting internal IP addresses or services.
• linux / server: Use journalctl -u typo3 to check for error messages or unusual activity related to webhook processing. Implement auditd rules to monitor file access and modification within the TYPO3 installation directory.
disclosure
エクスプロイト状況
EPSS
0.17% (39% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への主な対策は、typo3/cms-webhooksをバージョン12.4.31以降にアップデートすることです。アップデートが困難な場合は、Webhooksの設定を制限し、アクセス可能な内部リソースを最小限に抑えることでリスクを軽減できます。また、Webhooksの送信先URLを厳密に検証するカスタムコードを実装することも有効です。WAF(Web Application Firewall)を導入し、SSRF攻撃を検知・防御するルールを設定することも推奨されます。アップデート後、Webhooksの設定が正しく適用されていることを確認し、不要なWebhooksを無効化してください。
TYPO3 をバージョン 12.4.31 LTS または 13.4.12 LTS 以降にアップデートしてください。このアップデートは、Webhooks の Server Side Request Forgery (SSRF) 脆弱性を修正します。リスクを軽減するために、できるだけ早くアップデートすることをお勧めします。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-47936は、typo3/cms-webhooksのバージョン12.4.9以下に存在するサーバーサイドリクエストフォージェリ(SSRF)の脆弱性です。攻撃者は、この脆弱性を悪用して内部リソースにアクセスできる可能性があります。
TYPO3 CMSのWebhooks機能を有効にしているバージョン12.4.9以下のシステムは、この脆弱性の影響を受けます。内部ネットワークへのアクセス権を持つ管理者アカウントが存在する場合、攻撃のリスクが高まります。
typo3/cms-webhooksをバージョン12.4.31以降にアップデートすることで、この脆弱性を修正できます。アップデートが困難な場合は、Webhooksの設定を制限し、アクセス可能な内部リソースを最小限に抑えることでリスクを軽減できます。
現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であり、今後悪用される可能性があります。
公式のアドバイザリは、TYPO3のセキュリティアドバイザリページで確認できます。https://typo3.org/security/