Vigil@nce : TYPO3, vulnérabilités d’extensions
décembre 2009 par Vigil@nce
Un attaquant peut employer plusieurs vulnérabilités d’extensions
TYPO3 afin de mener un Cross Site Scripting ou d’injecter du code
SQL.
– Gravité : 2/4
– Conséquences : accès/droits utilisateur, accès/droits client
– Provenance : client internet
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Nombre de vulnérabilités dans ce bulletin : 19
– Date création : 15/12/2009
PRODUITS CONCERNÉS
– TYPO3
DESCRIPTION DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités des extensions
TYPO3.
Un attaquant peut obtenir des informations via l’extension TYPO3
Watchdog (aba_watchdog). [grav:2/4 ; BID-37344]
Un attaquant peut provoquer une injection SQL dans l’extension Car
(car). [grav:2/4]
Un attaquant peut provoquer un Cross Site Scripting dans
l’extension File list (dr_blob). [grav:2/4]
Un attaquant peut provoquer un Cross Site Scripting dans
l’extension ListMan (nl_listman). [grav:2/4 ; BID-37337]
Un attaquant peut provoquer une injection SQL dans l’extension XDS
Staff List (xds_staff). [grav:2/4]
Un attaquant peut provoquer une injection SQL dans l’extension
Document Directorys (danp_documentdirs). [grav:2/4]
Un attaquant peut provoquer un Cross Site Scripting et une
injection SQL dans l’extension Random Prayer Version 2
(ste_prayer2). [grav:2/4]
Un attaquant peut provoquer un Cross Site Scripting et une
injection SQL dans l’extension Diocese of Portsmouth Resources
Database (pd_resources). [grav:2/4]
Un attaquant peut provoquer un Cross Site Scripting et une
injection SQL dans l’extension Parish of the Holy Spirit Religious
Art Gallery (hs_religiousartgallery). [grav:2/4]
Un attaquant peut provoquer un Cross Site Scripting et une
injection SQL dans l’extension Parish Administration Database
(ste_parish_admin). [grav:2/4]
Un attaquant peut provoquer un Cross Site Scripting et une
injection SQL dans l’extension Diocese of Portsmouth Calendar
(pd_calendar). [grav:2/4]
Un attaquant peut provoquer une injection SQL dans l’extension
Flash SlideShow (slideshow). [grav:2/4]
Un attaquant peut provoquer une injection SQL dans l’extension
Subscription (mf_subscription). [grav:2/4]
Un attaquant peut provoquer un Cross Site Scripting et une
injection SQL dans l’extension No indexed Search
(no_indexed_search). [grav:2/4]
Un attaquant peut provoquer une injection SQL dans l’extension Job
Exchange (jobexchange). [grav:2/4]
Un attaquant peut provoquer un Cross Site Scripting dans
l’extension Training Company Database (trainincdb). [grav:2/4]
Un attaquant peut provoquer un Cross Site Scripting dans
l’extension ZID Linkliste (zid_linklist). [grav:2/4]
Un attaquant peut provoquer un Cross Site Scripting dans
l’extension vShoutbox (vshoutbox). [grav:2/4]
Un attaquant peut provoquer un Cross Site Scripting dans
l’extension Frontend news submitter with RTE (fe_rtenews).
[grav:2/4]
CARACTÉRISTIQUES
– Références : BID-37337, BID-37344, TYPO3-SA-2009-020,
VIGILANCE-VUL-9284
– Url : http://vigilance.fr/vulnerabilite/TYPO3-vulnerabilites-d-extensions-9284