| L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier. |
|
 |
|
|
Synthèse de la vulnérabilité 
Un attaquant peut employer plusieurs vulnérabilités de TYPO3, afin de mener un Cross Site Scripting, d'injecter du code SQL, ou d'exécuter des commandes.
 Logiciels impactés : TYPO3 Core.
Gravité de cette vulnérabilité informatique : 3/4.
Nombre de vulnérabilités dans ce bulletin : 9.
Date de création : 22/10/2009.
Références de cette annonce : BID-36801, CVE-2009-3628, CVE-2009-3629, CVE-2009-3630, CVE-2009-3631, CVE-2009-3632, CVE-2009-3633, CVE-2009-3634, CVE-2009-3635, CVE-2009-3636, TYPO3-SA-2009-016, VIGILANCE-VUL-9112.
Description de la vulnérabilité 
Plusieurs vulnérabilités ont été annoncées dans TYPO3.
Un attaquant authentifié peut employer le champ tt_content pour calculer la clé de chiffrement, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2009-3628]
Un attaquant peut employer plusieurs Cross Site Scripting du Backend. [grav:2/4; CVE-2009-3629]
Un attaquant authentifié peut inclure des sites web externes dans l'interface TYPO3. [grav:1/4; CVE-2009-3630]
Un attaquant peut uploader des fichiers avec DAM ou FTP, dont le nom permet de faire exécuter des commandes shell. [grav:3/4; CVE-2009-3631]
Un attaquant authentifié peut provoquer une injection SQL dans le frontend traditionnel d'édition. [grav:2/4; CVE-2009-3632]
La fonction t3lib_div::quoteJSvalue() ne filtre pas correctement les données, ce qui permet de créer un Cross Site Scripting. [grav:2/4; CVE-2009-3633]
Un attaquant peut provoquer un Cross Site Scripting dans l'interface d'authentification. [grav:2/4; CVE-2009-3634]
Un attaquant, connaissant le haché md5 du mot de passe de Install Tool, peut s'authentifier. [grav:1/4; CVE-2009-3635]
Un attaquant peut provoquer un Cross Site Scripting dans l'outil d'installation. [grav:2/4; CVE-2009-3636]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)
Ce bulletin de faille informatique concerne les logiciels ou systèmes comme TYPO3 Core.
Notre équipe Vigil@nce a déterminé que la gravité de cette vulnérabilité informatique est important.
Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client internet.
Ce bulletin concerne 9 vulnérabilités.
Un attaquant avec un niveau de compétence expert peut exploiter cette vulnérabilité cyber-sécurité.
Solutions pour cette menace 
TYPO3 : version 4.2.10.
La version 4.2.10 est corrigée :
http://typo3.org/
TYPO3 : version 4.1.13.
La version 4.1.13 est corrigée :
http://typo3.org/
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)
Service de veille sur les vulnérabilités informatiques 
Vigil@nce fournit une contre-mesure de vulnérabilités informatiques. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.
|