Vigil@nce - TYPO3 : multiples vulnérabilités
juin 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de TYPO3.
Produits concernés : Debian, TYPO3 Core
Gravité : 2/4
Date création : 22/05/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans TYPO3.
Un attaquant peut modifier l’entête HTTP Host, afin d’injecter des
données dans les scripts utilisant $_SERVER[’HTTP_HOST’].
[grav:2/4 ; CVE-2014-3941]
Un attaquant peut désérialiser des données, afin d’exécuter du
code. [grav:2/4 ; CVE-2014-3942]
Un attaquant peut provoquer un Cross Site Scripting dans Backend,
afin d’exécuter du code JavaScript dans le contexte du site web.
[grav:2/4 ; CVE-2014-3943]
Un attaquant peut provoquer un Cross Site Scripting dans ExtJS,
afin d’exécuter du code JavaScript dans le contexte du site web.
[grav:2/4 ; CVE-2010-4207, CVE-2012-5881]
Un attaquant authentifié peut renouveler sa session indéfiniment.
[grav:2/4 ; CVE-2014-3944]
Les mots de passe hachés ne sont pas toujours salés. [grav:1/4 ;
CVE-2014-3945]
Un attaquant, membre d’un autre groupe, peut obtenir des
informations sensibles. [grav:2/4 ; CVE-2014-3946]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/TYPO3-multiples-vulnerabilites-14789