L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de TYPO3 : multiples vulnérabilités

Synthèse de la vulnérabilité 

Un attaquant peut employer plusieurs vulnérabilités de TYPO3, afin de mener un Cross Site Scripting, d'injecter du code SQL, ou d'exécuter des commandes.
Logiciels impactés : TYPO3 Core.
Gravité de cette vulnérabilité informatique : 3/4.
Nombre de vulnérabilités dans ce bulletin : 9.
Date de création : 22/10/2009.
Références de cette annonce : BID-36801, CVE-2009-3628, CVE-2009-3629, CVE-2009-3630, CVE-2009-3631, CVE-2009-3632, CVE-2009-3633, CVE-2009-3634, CVE-2009-3635, CVE-2009-3636, TYPO3-SA-2009-016, VIGILANCE-VUL-9112.

Description de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans TYPO3.

Un attaquant authentifié peut employer le champ tt_content pour calculer la clé de chiffrement, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2009-3628]

Un attaquant peut employer plusieurs Cross Site Scripting du Backend. [grav:2/4; CVE-2009-3629]

Un attaquant authentifié peut inclure des sites web externes dans l'interface TYPO3. [grav:1/4; CVE-2009-3630]

Un attaquant peut uploader des fichiers avec DAM ou FTP, dont le nom permet de faire exécuter des commandes shell. [grav:3/4; CVE-2009-3631]

Un attaquant authentifié peut provoquer une injection SQL dans le frontend traditionnel d'édition. [grav:2/4; CVE-2009-3632]

La fonction t3lib_div::quoteJSvalue() ne filtre pas correctement les données, ce qui permet de créer un Cross Site Scripting. [grav:2/4; CVE-2009-3633]

Un attaquant peut provoquer un Cross Site Scripting dans l'interface d'authentification. [grav:2/4; CVE-2009-3634]

Un attaquant, connaissant le haché md5 du mot de passe de Install Tool, peut s'authentifier. [grav:1/4; CVE-2009-3635]

Un attaquant peut provoquer un Cross Site Scripting dans l'outil d'installation. [grav:2/4; CVE-2009-3636]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Ce bulletin de faille informatique concerne les logiciels ou systèmes comme TYPO3 Core.

Notre équipe Vigil@nce a déterminé que la gravité de cette vulnérabilité informatique est important.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.

Ce bulletin concerne 9 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette vulnérabilité cyber-sécurité.

Solutions pour cette menace 

TYPO3 : version 4.2.10.
La version 4.2.10 est corrigée :
  http://typo3.org/

TYPO3 : version 4.1.13.
La version 4.1.13 est corrigée :
  http://typo3.org/
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit une contre-mesure de vulnérabilités informatiques. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.