L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Contao

alerte de vulnérabilité CVE-2018-10125

Contao : Cross Site Scripting via Back End System Log

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Back End System Log de Contao, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Contao.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/04/2018.
Références : CVE-2018-10125, VIGILANCE-VUL-25911.

Description de la vulnérabilité

Le produit Contao dispose d'un service web.

Cependant, les données reçues via Back End System Log ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via Back End System Log de Contao, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2018-5478

Contao : Cross Site Scripting via newsletter

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via newsletter de Contao, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Contao.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/01/2018.
Références : CVE-2018-5478, VIGILANCE-VUL-25111.

Description de la vulnérabilité

Le produit Contao dispose d'un service web.

Cependant, les données reçues via newsletter ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via newsletter de Contao, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2017-16558

Contao : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL de Contao, afin de lire ou modifier des données.
Produits concernés : Contao.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/11/2017.
Références : CVE-2017-16558, VIGILANCE-VUL-24480.

Description de la vulnérabilité

Le produit Contao utilise une base de données.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL de Contao, afin de lire ou modifier des données.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-10993

Contao : lecture de fichier via PHP Back End

Synthèse de la vulnérabilité

Produits concernés : Contao.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/07/2017.
Références : CVE-2017-10993, VIGILANCE-VUL-23237.

Description de la vulnérabilité

Un attaquant local peut lire un fichier via PHP Back End de Contao, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2016-10074

SwiftMailer : exécution de code

Synthèse de la vulnérabilité

Produits concernés : Contao, Debian, Fedora, TYPO3 Core, Unix (plateforme) ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 30/12/2016.
Références : CVE-2016-10074, DLA-792-1, DSA-3769-1, FEDORA-2016-b65e546846, FEDORA-2016-f7ef82c1b4, VIGILANCE-VUL-21487.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de SwiftMailer, afin d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2016-4567

MediaElement.js : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de MediaElement.js, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Contao.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/07/2016.
Références : CVE-2016-4567, VIGILANCE-VUL-20138.

Description de la vulnérabilité

Le module MediaElement.js dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de MediaElement.js, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Contao :