L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de TYPO3 Core

alerte de vulnérabilité 29241

TYPO3 Core : stockage de mot de passe faible

Synthèse de la vulnérabilité

Les mots de passe sont stockés après hachage sans sel, ce qui permet les attaques par dictionnaire parallèles.
Produits concernés : TYPO3 Core.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : compte privilégié.
Date création : 07/05/2019.
Références : TYPO3-CORE-SA-2019-009, TYPO3-CORE-SA-2019-010, TYPO3-CORE-SA-2019-011, TYPO3-CORE-SA-2019-012, TYPO3-CORE-SA-2019-013, TYPO3-PSA-2019-004, TYPO3-PSA-2019-005, TYPO3-PSA-2019-006, VIGILANCE-VUL-29241.

Description de la vulnérabilité

Les mots de passe sont stockés après hachage sans sel, ce qui permet les attaques par dictionnaire parallèles.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2019-10909 CVE-2019-11358

jQuery, Symfony : Cross Site Scripting via templates

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via des modèles pour Symfony, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Debian, Drupal Core, Fedora, Grafana, IBM API Connect, Joomla Extensions ~ non exhaustif, Red Hat SSO, Symfony, Synology DSM, TYPO3 Core.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 18/04/2019.
Références : CERTFR-2019-AVI-180, CVE-2019-10909, CVE-2019-11358, DLA-1777-1, DLA-1777-2, DLA-1778-1, DLA-1797-1, DRUPAL-SA-CORE-2019-005, DRUPAL-SA-CORE-2019-006, DSA-4434-1, DSA-4441-1, FEDORA-2019-2a7f472198, FEDORA-2019-32067d8b15, FEDORA-2019-3ee6a7adf2, FEDORA-2019-a3ca65028c, FEDORA-2019-f8db687840, ibm10882578, ibm10882596, ibm10882756, ibm10882762, ibm10882952, ibm10882956, RHSA-2019:1456-01, Synology-SA-19:19, TYPO3-CORE-SA-2019-009, TYPO3-CORE-SA-2019-010, TYPO3-CORE-SA-2019-011, TYPO3-CORE-SA-2019-012, TYPO3-CORE-SA-2019-013, TYPO3-PSA-2019-004, TYPO3-PSA-2019-005, TYPO3-PSA-2019-006, VIGILANCE-VUL-29070.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via des modèles pour Symfony, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2019-8331

Pivotal Ops Manager : Cross Site Scripting via Bootstrap

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Bootstrap de Pivotal Ops Manager, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : IBM API Connect, Red Hat SSO, TYPO3 Core.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 08/03/2019.
Références : CVE-2019-8331, ibm10879483, RHSA-2019:1456-01, TYPO3-CORE-SA-2019-009, TYPO3-CORE-SA-2019-010, TYPO3-CORE-SA-2019-011, TYPO3-CORE-SA-2019-012, TYPO3-CORE-SA-2019-013, TYPO3-PSA-2019-004, TYPO3-PSA-2019-005, TYPO3-PSA-2019-006, VIGILANCE-VUL-28700.

Description de la vulnérabilité

Le produit Pivotal Ops Manager dispose d'un service web.

Cependant, les données reçues via Bootstrap ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via Bootstrap de Pivotal Ops Manager, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique 28326

TYPO3 Core : Cross Site Scripting via Flash WebSVG Component

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Flash WebSVG Component de TYPO3 Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : TYPO3 Core.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 22/01/2019.
Références : TYPO3-PSA-2019-003, VIGILANCE-VUL-28326.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Flash WebSVG Component de TYPO3 Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité 28000

TYPO3 Core : huit vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de TYPO3 Core.
Produits concernés : TYPO3 Core.
Gravité : 2/4.
Conséquences : accès/droits client, lecture de données, déni de service du service.
Provenance : client internet.
Date création : 11/12/2018.
Références : TYPO3-CORE-SA-2018-005, TYPO3-CORE-SA-2018-006, TYPO3-CORE-SA-2018-007, TYPO3-CORE-SA-2018-008, TYPO3-CORE-SA-2018-009, TYPO3-CORE-SA-2018-010, TYPO3-CORE-SA-2018-011, TYPO3-CORE-SA-2018-012, VIGILANCE-VUL-28000.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de TYPO3 Core.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique 27837

TYPO3 Core : obtention d'information via NGINX

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via NGINX de TYPO3 Core, afin d'obtenir des informations sensibles.
Produits concernés : TYPO3 Core.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 20/11/2018.
Références : TYPO3-PSA-2018-002, VIGILANCE-VUL-27837.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via NGINX de TYPO3 Core, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique 26729

TYPO3 Core : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de TYPO3 Core.
Produits concernés : TYPO3 Core.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Date création : 12/07/2018.
Références : TYPO3-CORE-SA-2018-001, TYPO3-CORE-SA-2018-002, TYPO3-CORE-SA-2018-003, TYPO3-CORE-SA-2018-004, VIGILANCE-VUL-26729.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de TYPO3 Core.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-6905

TYPO3 Core : Cross Site Scripting via Site Name

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Site Name de TYPO3 Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : TYPO3 Core.
Gravité : 1/4.
Conséquences : accès/droits client.
Provenance : compte privilégié.
Date création : 09/04/2018.
Références : 84191, CVE-2018-6905, VIGILANCE-VUL-25799.

Description de la vulnérabilité

L'extension Core peut être installée sur TYPO3.

Cependant, les données reçues via Site Name ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via Site Name de TYPO3 Core, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité 23730

TYPO3 Core : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de TYPO3 Core.
Produits concernés : TYPO3 Core.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 05/09/2017.
Références : TYPO3-CORE-SA-2017-004, TYPO3-CORE-SA-2017-005, TYPO3-CORE-SA-2017-006, TYPO3-CORE-SA-2017-007, VIGILANCE-VUL-23730.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans TYPO3 Core.

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; TYPO3-CORE-SA-2017-004]

Un attaquant peut contourner les mesures de sécurité via Protected Storages, afin d'obtenir des informations sensibles. [grav:1/4; TYPO3-CORE-SA-2017-005]

Un attaquant peut contourner les mesures de sécurité via API, afin d'obtenir des informations sensibles. [grav:1/4; TYPO3-CORE-SA-2017-006]

Un attaquant peut utiliser une vulnérabilité via pht, afin d'exécuter du code. [grav:3/4; TYPO3-CORE-SA-2017-007]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique 21978

TYPO3 Core : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de TYPO3 Core.
Produits concernés : TYPO3 Core.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 28/02/2017.
Références : TYPO3-CORE-SA-2017-002, TYPO3-CORE-SA-2017-003, VIGILANCE-VUL-21978.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans TYPO3 Core.

Un attaquant peut contourner les mesures de sécurité via TCA Initialization, afin d'élever ses privilèges. [grav:2/4; TYPO3-CORE-SA-2017-002]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; TYPO3-CORE-SA-2017-003]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur TYPO3 Core :