Vigil@nce : TYPO3, vulnérabilités d’extensions
octobre 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités d’extensions
TYPO3 afin de mener un Cross Site Scripting ou d’injecter du code
SQL.
– Gravité : 2/4
– Date création : 28/09/2011
– Date révision : 29/09/2011
PRODUITS CONCERNÉS
– TYPO3
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans les extensions
TYPO3.
Un attaquant peut provoquer une injection SQL ou un Cross Site
Scripting dans l’extension MG Rooms (mg_rooms). [grav:2/4 ;
BID-49838]
Un attaquant peut provoquer une injection SQL dans l’extension
Hut-Manager (mm_hutinfo). [grav:2/4 ; BID-49831]
Un attaquant peut provoquer une injection SQL dans l’extension
dev/null robots.txt (dev_null_robots). [grav:2/4 ; BID-49832]
Un attaquant peut provoquer une injection SQL dans l’extension DAM
Frontend (dam_frontend). [grav:2/4 ; BID-49834]
Un attaquant peut provoquer une injection SQL dans l’extension RTG
Files (rtg_files). [grav:2/4 ; BID-49839]
Un attaquant peut provoquer une injection SQL dans l’extension TGM
gallery (tgm_gallery). [grav:2/4 ; BID-49840]
Un attaquant peut provoquer une injection SQL dans l’extension
tgmv gallery (tgmv_gallery). [grav:2/4 ; BID-49833]
Un attaquant peut provoquer un Cross Site Scripting dans
l’extension Indexed Search Statistics (np_indexed_search_stat).
[grav:2/4 ; BID-49846]
Un attaquant peut provoquer un Cross Site Scripting dans
l’extension jQuery Colorbox (rzcolorbox). [grav:2/4 ; BID-49815]
Un attaquant peut injecter du code HTML dans l’extension T3C
Podcasts (t3c_podcasts). [grav:2/4 ; BID-49836]
Un attaquant peut provoquer une injection SQL dans l’extension
winning_game (winning_game). [grav:2/4 ; BID-49841]
Un attaquant peut contourner l’authentification de l’extension
Frontend Shibboleth Protection (bps_ship). [grav:2/4 ; BID-49844]
Un attaquant peut provoquer un Cross Site Scripting dans
l’extension Inflation-Calculator (dhc_inflationcal). [grav:2/4 ;
BID-49842]
Un attaquant peut provoquer un Cross Site Scripting dans
l’extension Gridelements (gridelements). [grav:2/4 ; BID-49843]
Un attaquant peut provoquer un Cross Site Scripting dans
l’extension t3blog (t3blog). [grav:2/4 ; ERREUR-TYPO3-EXT-SA-2011-011,
TYPO3-EXT-SA-2011-013]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/TYPO3-vulnerabilites-d-extensions-11021