Vigil@nce : TYPO3, quatre vulnérabilités
avril 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer quatre vulnérabilités de TYPO3, afin
d’obtenir des informations ou de mener des Cross Site Scripting.
– Gravité : 2/4
– Date création : 28/03/2012
PRODUITS CONCERNÉS
– Debian Linux
– TYPO3
DESCRIPTION DE LA VULNÉRABILITÉ
Quatre vulnérabilités ont été annoncées dans TYPO3.
Un attaquant peut dé-sérialiser des objets. [grav:2/4 ;
CVE-2012-1605]
Un attaquant peut provoquer un Cross Site Scripting via le contenu
des liens. [grav:2/4 ; CVE-2012-1606]
Un attaquant peut obtenir le nom de la base de données en appelant
directement des scripts Command Line Interface. [grav:1/4 ;
CVE-2012-1607]
La fonction t3lib_div::RemoveXSS() ne filtre pas les caractères
non affichables, donc un attaquant peut tout de même provoquer un
Cross Site Scripting. [grav:2/4 ; CVE-2012-1608]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/TYPO3-quatre-vulnerabilites-11497