| Vigil@nce décrit les vulnérabilités qui affectent vos systèmes, et propose les solutions pour y remédier. |
|
 |
|
|
|
avis de vulnérabilité 9394
TYPO3 : vulnérabilités d'extensions
Synthèse de la vulnérabilité
| Un attaquant peut employer plusieurs vulnérabilités d'extensions TYPO3 afin de mener un Cross Site Scripting ou d'injecter du code SQL. |
Gravité : 2/4.
Conséquences : accès/droits utilisateur, accès/droits client, lecture de données.
Provenance : client internet.
Moyen d'attaque : aucun démonstrateur, aucune attaque.
Compétence de l'attaquant : expert (4/4).
Confiance : confirmé par l'éditeur (5/5).
Diffusion de la configuration vulnérable : élevée (3/3).
Nombre de vulnérabilités dans ce bulletin : 7.
Date création : 01/02/2010.
|
Produits concernés
Description de la vulnérabilité
Un attaquant peut employer plusieurs vulnérabilités des extensions TYPO3.
Un attaquant peut provoquer des injections SQL et des Cross Site Scripting dans l'extension T3BLOG (t3blog). [grav:2/4; BID-38030, TYPO3-SA-2010-002, >]
Un attaquant peut provoquer une injection SQL dans l'extension Event Manager (eventmanagement). [grav:2/4; TYPO3-SA-2010-003, >]
Un attaquant peut provoquer une injection SQL dans l'extension Game Article DB (game_articledb). [grav:2/4; TYPO3-SA-2010-003, >]
Un attaquant peut provoquer une injection SQL et un Cross Site Scripting dans l'extension Simple career (ml_career). [grav:2/4; TYPO3-SA-2010-003, >]
Un attaquant peut provoquer une injection SQL dans l'extension Surprise Calendar (ml_surprisecalendar) [grav:2/4; TYPO3-SA-2010-003, >]
Un attaquant peut provoquer un Cross Site Scripting dans l'extension Search Api Ajax Google (searchajaxgoogle). [grav:2/4; TYPO3-SA-2010-003, >]
Un attaquant peut obtenir des informations via l'extension Download Manager (spr_downloadmanager). [grav:1/4; TYPO3-SA-2010-003, >] |
Caractéristiques
Titre : TYPO3 : vulnérabilités d'extensions
Références : BID-38030, TYPO3-SA-2010-002, TYPO3-SA-2010-003, VIGILANCE-VUL-9394.
Url : https://vigilance.fr/arbre/1/9394
|
Solutions pour cette vulnérabilité
Compléments
Vulnérabilité : T3BLOG (t3blog)
Un attaquant peut provoquer des injections SQL et des Cross Site Scripting dans l'extension T3BLOG (t3blog).
Gravité : 2/4.
Références : BID-38030, TYPO3-SA-2010-002.
|
|
Vulnérabilité : Event Manager (eventmanagement)
Un attaquant peut provoquer une injection SQL dans l'extension Event Manager (eventmanagement).
Gravité : 2/4.
Références : TYPO3-SA-2010-003.
|
|
Vulnérabilité : Game Article DB (game_articledb)
Un attaquant peut provoquer une injection SQL dans l'extension Game Article DB (game_articledb).
Gravité : 2/4.
Références : TYPO3-SA-2010-003.
|
|
Vulnérabilité : Simple career (ml_career)
Un attaquant peut provoquer une injection SQL et un Cross Site Scripting dans l'extension Simple career (ml_career).
Gravité : 2/4.
Références : TYPO3-SA-2010-003.
|
|
Vulnérabilité : Surprise Calendar (ml_surprisecalendar)
Un attaquant peut provoquer une injection SQL dans l'extension Surprise Calendar (ml_surprisecalendar)
Gravité : 2/4.
Références : TYPO3-SA-2010-003.
|
|
Vulnérabilité : Search Api Ajax Google (searchajaxgoogle)
Un attaquant peut provoquer un Cross Site Scripting dans l'extension Search Api Ajax Google (searchajaxgoogle).
Gravité : 2/4.
Références : TYPO3-SA-2010-003.
|
|
Vulnérabilité : Download Manager (spr_downloadmanager)
Un attaquant peut obtenir des informations via l'extension Download Manager (spr_downloadmanager).
Gravité : 1/4.
Références : TYPO3-SA-2010-003.
|
|
|
