Vigil@nce : TYPO3, vulnérabilités d’extensions
août 2009 par Vigil@nce
Un attaquant peut employer plusieurs vulnérabilités d’extensions
TYPO3 afin d’obtenir des informations, de mener un Cross Site
Scripting ou d’injecter du code SQL.
Gravité : 2/4
Conséquences : accès/droits utilisateur, accès/droits client
Provenance : client internet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 9
Date création : 18/08/2009
PRODUITS CONCERNÉS
– TYPO3
DESCRIPTION DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités des extensions
TYPO3.
Un attaquant peut provoquer un Cross Site Scripting dans
l’extension Commerce (commerce). [grav:2/4 ; TYPO3-SA-2009-011]
Un attaquant peut provoquer une injection SQL dans l’extension T3M
E-Mail Marketing Tool (t3m). [grav:2/4 ; TYPO3-SA-2009-012]
Un attaquant peut provoquer une injection SQL dans l’extension
AIRware Lexicon (air_lexicon). [grav:2/4 ; TYPO3-SA-2009-013]
Un attaquant peut provoquer une injection SQL dans l’extension AST
ZipCodeSearch (ast_addresszipsearch). [grav:2/4 ; TYPO3-SA-2009-013]
Un attaquant peut provoquer une injection SQL dans l’extension Car
(car). [grav:2/4 ; TYPO3-SA-2009-013]
Un attaquant peut provoquer une injection SQL dans l’extension
Event Registration (event_registr). [grav:2/4 ; TYPO3-SA-2009-013]
Un attaquant peut provoquer une injection SQL dans l’extension
Solidbase Bannermanagement (SBbanner). [grav:2/4 ;
TYPO3-SA-2009-013]
Un attaquant peut provoquer une injection SQL dans l’extension
t3m_affiliate (t3m_affiliate). [grav:2/4 ; TYPO3-SA-2009-013]
Un attaquant peut provoquer une injection SQL dans l’extension
AJAX Chat (vjchat). [grav:2/4 ; TYPO3-SA-2009-013]
CARACTÉRISTIQUES
Références : TYPO3-SA-2009-011, TYPO3-SA-2009-012,
TYPO3-SA-2009-013, VIGILANCE-VUL-8955
http://vigilance.fr/vulnerabilite/TYPO3-vulnerabilites-d-extensions-8955