Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités de TYPO3.

Produits concernés : Debian, TYPO3 Core

Gravité : 2/4

Date création : 22/05/2014

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans TYPO3.

Un attaquant peut modifier l’entête HTTP Host, afin d’injecter des
données dans les scripts utilisant $_SERVER[’HTTP_HOST’].
[grav:2/4 ; CVE-2014-3941]

Un attaquant peut désérialiser des données, afin d’exécuter du
code. [grav:2/4 ; CVE-2014-3942]

Un attaquant peut provoquer un Cross Site Scripting dans Backend,
afin d’exécuter du code JavaScript dans le contexte du site web.
[grav:2/4 ; CVE-2014-3943]

Un attaquant peut provoquer un Cross Site Scripting dans ExtJS,
afin d’exécuter du code JavaScript dans le contexte du site web.
[grav:2/4 ; CVE-2010-4207, CVE-2012-5881]

Un attaquant authentifié peut renouveler sa session indéfiniment.
[grav:2/4 ; CVE-2014-3944]

Les mots de passe hachés ne sont pas toujours salés. [grav:1/4 ;
CVE-2014-3945]

Un attaquant, membre d’un autre groupe, peut obtenir des
informations sensibles. [grav:2/4 ; CVE-2014-3946]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/TYPO3-multiples-vulnerabilites-14789