 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 24 février
2010
No CERTA-2010-AVI-091 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
TYPO3
Tableau 1: Gestion du document
| Référence |
CERTA-2010-AVI-091 |
| Titre |
Vulnérabilités
dans TYPO3 |
| Date de la première
version |
24 février 2010 |
| Date de la dernière
version |
- |
| Source(s) |
|
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Contournement de la politique de sécurité
;
- atteinte à la confidentialité des
données ;
- injection de code indirecte à distance.
TYPO3 versions 4.2.x et 4.3.x.
Plusieurs vulnérabilités de TYPO3 permettent
à un utilisateur malveillant de contourner la politique
de sécurité, d'accéder à des
données sensibles ou de réaliser de l'injection
de code indirecte.
Plusieurs vulnérabilités de TYPO3 ont
été publiée :
- dans le module backend, un
utilisateur authentifié peut, dans certaines
conditions, accéder à des données
d'autres utilisateurs de ce module ;
- ce même module permet à un utilisateur
authentifié de réaliser de l'injection de code
indirecte (XSS) ;
- quand TYPO3 est exécuter comme CGI sur PHP, une
adresse réticulaire malveillante donnée en
argument au script index.php
permet de provoquer l'émission d'un message d'erreur
avec injection de code HTML ;
- l'extension saltedpasswords,
non active par défaut, permet, dans certaines
circonstances, à un utilisateur malveillant de se
connecter sans connaître le mot de passe.
Les versions 4.2.12 et 4.3.2 de TYPO3 remédient à
ces vulnérabilités.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 24 février 2010
- version initiale.
CERTA
2012-01-04
|
|
)
