bulletin de vulnérabilité 9483

TYPO3 : injection SQL dans Calendar Base

Synthèse de la vulnérabilité

Un attaquant peut injecter des requêtes SQL dans l'extension Calendar Base de TYPO3.

Gravité : 2/4. Date création : 02/03/2010.

Description de la vulnérabilité

L'extension Calendar Base (cal) de TYPO3 implémente un calendrier. Le format iCalendar est un format standard d'échange de planning. Lorsque Calendar Base importe des données iCalendar, elles ne sont pas vérifiées, et elles sont directement utilisées dans une requête SQL. Un attaquant peut donc inviter la victime à importer un fichier iCalendar illicite, afin de faire exécuter des requêtes SQL sur le service TYPO3.

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : TYPO3 : injection SQL dans Calendar Base. Mots clés : Base Calendar SQL TYPO3 dans iCalendar injection. Références : BID-38493, TYPO3-SA-2010-005, VIGILANCE-VUL-9483.

Sources d'information

Publications et annonces Exemple de source : TYPO3 Security Bulletin TYPO3-SA-2010-005: Blind SQL Injection vulnerability in extension "Calendar Base" (cal)

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Alertes de vulnérabilité sécurité