nous veillons pour votre sécurité depuis 1999

vulnérabilités

L'équipe Vigil@nce veille les vulnérabilités qui affectent votre parc informatique, puis propose les correctifs, une base et les outils pour y remédier.

vulnérabilités récentes

produits suivis

fil RSS

vulnérabilité

annonce de vulnérabilité CVE-2012-1070 CVE-2012-1071 CVE-2012-1072

TYPO3 : vulnérabilités d'extensions

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités d'extensions TYPO3 afin de mener un Cross Site Scripting, des injections SQL, d'obtenir des information, ou d'exécuter du code.
Produits concernés : TYPO3.
Gravité : 3/4.
Date création : 02/02/2012.
Références : BID-51825, BID-51834, BID-51837, BID-51838, BID-51843, BID-51844, BID-51845, BID-51846, BID-51848, BID-51849, BID-51850, BID-51851, BID-51852, BID-51854, BID-51855, CVE-2012-1070, CVE-2012-1071, CVE-2012-1072, CVE-2012-1073, CVE-2012-1074, CVE-2012-1075, CVE-2012-1076, CVE-2012-1077, CVE-2012-1078, CVE-2012-1079, CVE-2012-1080, CVE-2012-1081, CVE-2012-1082, CVE-2012-1083, CVE-2012-1084, CVE-2012-1085, CVE-2012-1086, CVE-2012-1087, TYPO3-EXT-SA-2012-001, VIGILANCE-VUL-11337.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans les extensions TYPO3.

Un attaquant peut provoquer une injection SQL dans l'extension Kitchen recipe (mv_cooking). [grav:2/4; BID-51825, CVE-2012-1071]

Un attaquant peut provoquer une injection SQL et un Cross Site Scripting dans l'extension Category-System (toi_category). [grav:2/4; BID-51834, CVE-2012-1072, CVE-2012-1073]

Un attaquant peut provoquer une injection SQL dans l'extension White Papers (mm_whtppr). [grav:2/4; BID-51837, CVE-2012-1074]

Un attaquant peut provoquer une injection SQL et un Cross Site Scripting dans l'extension Documents download (rtg_files). [grav:2/4; BID-51838, CVE-2012-1075, CVE-2012-1076]

Un attaquant peut provoquer une injection SQL et un Cross Site Scripting dans l'extension Post data records to facebook (bc_post2facebook). [grav:2/4; BID-51846, CVE-2012-1077, CVE-2012-1087]

Un attaquant peut obtenir des informations via l'extension System Utilities (sysutils). [grav:1/4; BID-51844, CVE-2012-1078]

Un attaquant peut exécuter du code via l'extension Webservices for TYPO3 (typo3_webservice). [grav:3/4; BID-51843, CVE-2012-1079]

Un attaquant peut provoquer un Cross Site Scripting dans l'extension CSS styled Filelinks (css_filelinks). [grav:2/4; BID-51850]

Un attaquant peut provoquer un Cross Site Scripting dans l'extension Modern FAQ (irfaq). [grav:2/4; BID-51845, CVE-2012-1070]

Un attaquant peut provoquer un Cross Site Scripting dans l'extension Euro Calculator (skt_eurocalc). [grav:2/4; BID-51848, CVE-2012-1080]

Un attaquant peut provoquer un Cross Site Scripting dans l'extension Yet another Google search (ya_googlesearch). [grav:2/4; BID-51851, CVE-2012-1081]

Un attaquant peut provoquer un Cross Site Scripting et un Cross Site Request Forgery dans l'extension Terminal PHP Shell (terminal). [grav:2/4; BID-51849, CVE-2012-1082, CVE-2012-1083]

Un attaquant peut provoquer un Cross Site Scripting et obtenir des informations via l'extension BE User Switch (beuserswitch). [grav:2/4; BID-51852, CVE-2012-1084, CVE-2012-1085]

Un attaquant peut provoquer un Cross Site Scripting dans l'extension Additional TCA Forms (jftcaforms). [grav:2/4; BID-51854]

Un attaquant peut provoquer un Cross Site Scripting dans l'extension UrlTool (aeurltool). [grav:2/4; BID-51855, CVE-2012-1086]
Bulletin Vigil@nce complet.... (accès gratuit)

Partagez ce bulletin

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une veille de vulnérabilité informatique. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.