Actu
Vigil@nce : TYPO3, vulnérabilités d’extensions
février 2010 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités d’extensions TYPO3 afin de mener un Cross Site Scripting ou d’injecter du code SQL.
Gravité : 2/4
Conséquences : accès/droits utilisateur, accès/droits client, lecture de données
Provenance : client internet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 7
Date création : 01/02/2010
PRODUITS CONCERNÉS
TYPO3
DESCRIPTION DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités des extensions TYPO3.
Un attaquant peut provoquer des injections SQL et des Cross Site Scripting dans l’extension T3BLOG (t3blog). [grav:2/4 ; BID-38030, TYPO3-SA-2010-002]
Un attaquant peut provoquer une injection SQL dans l’extension Event Manager (eventmanagement). [grav:2/4 ; TYPO3-SA-2010-003]
Un attaquant peut provoquer une injection SQL dans l’extension Game Article DB (game_articledb). [grav:2/4 ; TYPO3-SA-2010-003]
Un attaquant peut provoquer une injection SQL et un Cross Site Scripting dans l’extension Simple career (ml_career). [grav:2/4 ; TYPO3-SA-2010-003]
Un attaquant peut provoquer une injection SQL dans l’extension Surprise Calendar (ml_surprisecalendar) [grav:2/4 ; TYPO3-SA-2010-003]
Un attaquant peut provoquer un Cross Site Scripting dans l’extension Search Api Ajax Google (searchajaxgoogle). [grav:2/4 ; TYPO3-SA-2010-003]
Un attaquant peut obtenir des informations via l’extension Download Manager (spr_downloadmanager). [grav:1/4 ; TYPO3-SA-2010-003]
CARACTÉRISTIQUES
Références : BID-38030, TYPO3-SA-2010-002, TYPO3-SA-2010-003, VIGILANCE-VUL-9394
