annonce de vulnérabilité CVE-2012-1605 CVE-2012-1606 CVE-2012-1607

TYPO3 : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer quatre vulnérabilités de TYPO3, afin d'obtenir des informations ou de mener des Cross Site Scripting.
Produits concernés : Debian, TYPO3.
Gravité : 2/4.
Date création : 28/03/2012.
Références : BID-52771, CERTA-2012-AVI-181, CVE-2012-1605, CVE-2012-1606, CVE-2012-1607, CVE-2012-1608, DSA-2445-1, TYPO3-CORE-SA-2012-001, VIGILANCE-VUL-11497.

Description de la vulnérabilité

Quatre vulnérabilités ont été annoncées dans TYPO3.

Un attaquant peut dé-sérialiser des objets. [grav:2/4; CERTA-2012-AVI-181, CVE-2012-1605]

Un attaquant peut provoquer un Cross Site Scripting via le contenu des liens. [grav:2/4; CVE-2012-1606]

Un attaquant peut obtenir le nom de la base de données en appelant directement des scripts Command Line Interface. [grav:1/4; CVE-2012-1607]

La fonction t3lib_div::RemoveXSS() ne filtre pas les caractères non affichables, donc un attaquant peut tout de même provoquer un Cross Site Scripting. [grav:2/4; CVE-2012-1608]
Bulletin Vigil@nce complet.... (accès gratuit)

Partagez ce bulletin

          

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit des alertes de vulnérabilités de réseaux. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.