Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
analyse de vulnérabilités informatiques depuis 1999
  accueil présentation vulnérabilités documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
L'équipe Vigil@nce veille les vulnérabilités qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité

annonce de vulnérabilité CVE-2012-1070 CVE-2012-1071 CVE-2012-1072

TYPO3 : vulnérabilités d'extensions

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités d'extensions TYPO3 afin de mener un Cross Site Scripting, des injections SQL, d'obtenir des information, ou d'exécuter du code.
Produits concernés : TYPO3 Extensions.
Gravité : 3/4.
Date création : 02/02/2012.
Références : BID-51825, BID-51834, BID-51837, BID-51838, BID-51843, BID-51844, BID-51845, BID-51846, BID-51848, BID-51849, BID-51850, BID-51851, BID-51852, BID-51854, BID-51855, CVE-2012-1070, CVE-2012-1071, CVE-2012-1072, CVE-2012-1073, CVE-2012-1074, CVE-2012-1075, CVE-2012-1076, CVE-2012-1077, CVE-2012-1078, CVE-2012-1079, CVE-2012-1080, CVE-2012-1081, CVE-2012-1082, CVE-2012-1083, CVE-2012-1084, CVE-2012-1085, CVE-2012-1086, CVE-2012-1087, TYPO3-EXT-SA-2012-001, VIGILANCE-VUL-11337.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans les extensions TYPO3.

Un attaquant peut provoquer une injection SQL dans l'extension Kitchen recipe (mv_cooking). [grav:2/4; BID-51825, CVE-2012-1071]

Un attaquant peut provoquer une injection SQL et un Cross Site Scripting dans l'extension Category-System (toi_category). [grav:2/4; BID-51834, CVE-2012-1072, CVE-2012-1073]

Un attaquant peut provoquer une injection SQL dans l'extension White Papers (mm_whtppr). [grav:2/4; BID-51837, CVE-2012-1074]

Un attaquant peut provoquer une injection SQL et un Cross Site Scripting dans l'extension Documents download (rtg_files). [grav:2/4; BID-51838, CVE-2012-1075, CVE-2012-1076]

Un attaquant peut provoquer une injection SQL et un Cross Site Scripting dans l'extension Post data records to facebook (bc_post2facebook). [grav:2/4; BID-51846, CVE-2012-1077, CVE-2012-1087]

Un attaquant peut obtenir des informations via l'extension System Utilities (sysutils). [grav:1/4; BID-51844, CVE-2012-1078]

Un attaquant peut exécuter du code via l'extension Webservices for TYPO3 (typo3_webservice). [grav:3/4; BID-51843, CVE-2012-1079]

Un attaquant peut provoquer un Cross Site Scripting dans l'extension CSS styled Filelinks (css_filelinks). [grav:2/4; BID-51850]

Un attaquant peut provoquer un Cross Site Scripting dans l'extension Modern FAQ (irfaq). [grav:2/4; BID-51845, CVE-2012-1070]

Un attaquant peut provoquer un Cross Site Scripting dans l'extension Euro Calculator (skt_eurocalc). [grav:2/4; BID-51848, CVE-2012-1080]

Un attaquant peut provoquer un Cross Site Scripting dans l'extension Yet another Google search (ya_googlesearch). [grav:2/4; BID-51851, CVE-2012-1081]

Un attaquant peut provoquer un Cross Site Scripting et un Cross Site Request Forgery dans l'extension Terminal PHP Shell (terminal). [grav:2/4; BID-51849, CVE-2012-1082, CVE-2012-1083]

Un attaquant peut provoquer un Cross Site Scripting et obtenir des informations via l'extension BE User Switch (beuserswitch). [grav:2/4; BID-51852, CVE-2012-1084, CVE-2012-1085]

Un attaquant peut provoquer un Cross Site Scripting dans l'extension Additional TCA Forms (jftcaforms). [grav:2/4; BID-51854]

Un attaquant peut provoquer un Cross Site Scripting dans l'extension UrlTool (aeurltool). [grav:2/4; BID-51855, CVE-2012-1086]
Bulletin Vigil@nce complet.... (accès gratuit)

Partagez ce bulletin

Delicious Digg Facebook Google bookmarks LinkedIn Mail Reddit StumbleUpon Technorati Twitter 

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une veille de vulnérabilité informatique. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.



















Copyright 1999-2014 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version