📄 Description (English)
TYPO3's mail‑file spool deserialization flaw lets local users with write access to the spool directory craft a malicious file that is deserialized during the mailer:spool:send command, enabling arbitrary PHP code execution on the web server. This issue affects TYPO3 CMS versions 10.0.0-10.4.54, 11.0.0-11.5.48, 12.0.0-12.4.40, 13.0.0-13.4.22 and 14.0.0-14.0.1.
🤖 AI Executive Summary
CVE-2026-0859 is a critical PHP object deserialization vulnerability in TYPO3 CMS affecting versions 10.0.0 through 14.0.1. Local attackers with write access to the mail spool directory can craft malicious serialized objects that execute arbitrary PHP code when the mailer:spool:send command processes them. This vulnerability requires local access but poses significant risk to organizations running TYPO3-based content management systems.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Apr 28, 2026 09:56
🇸🇦 Saudi Arabia Impact Assessment
Saudi organizations using TYPO3 CMS for government portals, corporate websites, and e-commerce platforms are at risk. Most vulnerable sectors include: Government (MCIT, municipalities using TYPO3 for citizen services), Banking (corporate websites and customer portals), Healthcare (hospital management systems), Telecommunications (STC, Mobily corporate sites), and Education (university content management). The vulnerability requires local access, making it primarily a risk for compromised hosting environments or insider threats. Organizations with shared hosting or inadequate file permission controls face elevated risk.
🏢 Affected Saudi Sectors
Government
Banking
Healthcare
Telecommunications
Education
E-commerce
Media and Publishing
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
6.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all TYPO3 instances running affected versions (10.0.0-10.4.54, 11.0.0-11.5.48, 12.0.0-12.4.40, 13.0.0-13.4.22, 14.0.0-14.0.1)
2. Restrict file system permissions on the mail spool directory (/var/spool/typo3-mailer or configured path) to prevent unauthorized write access
3. Review access logs for suspicious mailer:spool:send command executions
PATCHING GUIDANCE:
1. Upgrade TYPO3 to patched versions: 10.4.55+, 11.5.49+, 12.4.41+, 13.4.23+, or 14.0.2+
2. Apply patches in sequence: test in staging environment first, then production during maintenance window
3. Clear mail spool directory before and after patching
COMPENSATING CONTROLS (if immediate patching not possible):
1. Implement strict file system ACLs on spool directory - only TYPO3 process user can write
2. Disable mailer:spool:send command execution via cron or scheduler if not actively used
3. Monitor spool directory for suspicious file modifications using file integrity monitoring (FIM)
4. Implement SELinux or AppArmor policies to restrict PHP execution in spool directories
DETECTION RULES:
1. Monitor for mailer:spool:send command execution with unusual frequency or timing
2. Alert on serialized object patterns in spool directory files (look for 'O:' prefix in PHP serialization)
3. Track file creation/modification in spool directory outside normal mailer operations
4. Monitor PHP error logs for deserialization warnings or exceptions
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع مثيلات TYPO3 التي تشغل الإصدارات المتأثرة (10.0.0-10.4.54، 11.0.0-11.5.48، 12.0.0-12.4.40، 13.0.0-13.4.22، 14.0.0-14.0.1)
2. تقييد أذونات نظام الملفات في دليل البريد الإلكتروني (/var/spool/typo3-mailer أو المسار المكون) لمنع الوصول غير المصرح للكتابة
3. مراجعة سجلات الوصول للتنفيذ المريب لأمر mailer:spool:send
إرشادات التصحيح:
1. ترقية TYPO3 إلى الإصدارات المصححة: 10.4.55+، 11.5.49+، 12.4.41+، 13.4.23+، أو 14.0.2+
2. تطبيق التصحيحات بالتسلسل: اختبر في بيئة التجريب أولاً، ثم الإنتاج أثناء نافذة الصيانة
3. مسح دليل البريد الإلكتروني قبل وبعد التصحيح
الضوابط البديلة (إذا لم يكن التصحيح الفوري ممكناً):
1. تطبيق قوائم التحكم في الوصول (ACL) الصارمة على دليل البريد - فقط مستخدم عملية TYPO3 يمكنه الكتابة
2. تعطيل تنفيذ أمر mailer:spool:send عبر cron أو المجدول إذا لم يكن قيد الاستخدام النشط
3. مراقبة دليل البريد للتعديلات المريبة على الملفات باستخدام مراقبة سلامة الملفات (FIM)
4. تطبيق سياسات SELinux أو AppArmor لتقييد تنفيذ PHP في أدلة البريد
قواعد الكشف:
1. مراقبة تنفيذ أمر mailer:spool:send بتكرار غير عادي أو توقيت غير متوقع
2. تنبيه على أنماط الكائنات المسلسلة في ملفات دليل البريد (ابحث عن بادئة 'O:' في تسلسل PHP)
3. تتبع إنشاء/تعديل الملفات في دليل البريد خارج عمليات البريد العادية
4. مراقبة سجلات أخطاء PHP للتحذيرات أو الاستثناءات المتعلقة بفك التسلسل
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
A.5.1.1 - Information security policies and procedures
A.8.1.1 - User access management
A.12.2.1 - Change management procedures
A.12.6.1 - Management of technical vulnerabilities
🔵 SAMA CSF
ID.GV-1 - Organizational processes to manage cybersecurity risk
PR.IP-1 - System development and acquisition processes
PR.IP-12 - Software, firmware, and information integrity mechanisms
DE.CM-8 - Vulnerability scans are performed
🟡 ISO 27001:2022
A.12.2.1 - Change management
A.12.6.1 - Management of technical vulnerabilities
A.14.2.1 - Secure development policy
A.14.2.5 - Secure development environment
🟣 PCI DSS v4.0.1
6.2 - Ensure all system components and software are protected from known vulnerabilities
6.5.1 - Injection flaws prevention
11.2 - Vulnerability scanning
🔗 References & Sources 4
🔗
https://github.com/TYPO3/typo3/commit/3225d705080a1bde57a66689621c947da5a4782f
f4fb688c-4412-4426-b4b8-421ecf27b14a
Patch
🔗
https://github.com/TYPO3/typo3/commit/722bf71c118b0a8e4f2c2494854437d846799a13
f4fb688c-4412-4426-b4b8-421ecf27b14a
Patch
🔗
https://github.com/TYPO3/typo3/commit/e0f0ceee480c203fbb60b87454f5f193e541d27f
f4fb688c-4412-4426-b4b8-421ecf27b14a
Patch
🔗
https://typo3.org/security/advisory/typo3-core-sa-2026-004
f4fb688c-4412-4426-b4b8-421ecf27b14a
Vendor Advisory
📦 Affected Products / CPE 5 entries
typo3:typo3
typo3:typo3
typo3:typo3
typo3:typo3
typo3:typo3