CERTA : Vulnérabilité dans TYPO3
décembre 2007 par CERT-FR
1 Risque
Injection de commandes SQL.
2 Systèmes affectés
* TYPO3 versions 3.x ;
* TYPO3 versions 4.0 à 4.0.7 ;
* TYPO3 versions 4.1 à 4.1.3.
3 Résumé
Une vulnérabilité dans TYPO3 permet d’injecter des commandes SQL.
4 Description
Une vulnérabilité a été découverte dans TYPO3. Celle-ci permet d’injecter des
commandes SQL par l’intermédiaire de l’extension indexed_search. Cependant, il
est nécessaire de disposer d’un compte utilisateur pour pouvoir exploiter la
vulnérabilité.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité TYPO3 20071210-1 du 10 décembre 2007 :
http://typo3.org/teams/security/security-bulletins/typo3-20071210-1/