Vigil@nce - TYPO3 : vulnérabilités d’extensions
mars 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités d’extensions
TYPO3 afin de mener un Cross Site Scripting ou d’injecter du code
SQL.
Gravité : 2/4
Date création : 16/03/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans les extensions
TYPO3.
Des injections SQL et des Cross Site Scripting affectent :
"mm_forum" (mm_forum)
"Brainstorming" (brainstorming)
"Power Extension Manager" (ch_lightem)
"Sellector.com Widget Integration" (chsellector)
"Educator" (educator)
"MK Wastebasket" (mk_wastebasket)
"myDashboard" (mydashboard)
"CleanDB" (nf_cleandb)
"Diocese of Portsmouth Database" (pd_diocesedatabase)
"Reports Logfile View" (reports_logview)
"SAV Filter Alphabetic" (sav_filter_abc)
"SAV Filter Selectors" (sav_filter_selectors)
"SAV Filter Months" (sav_filter_months)
"Book Reviews" (sk_bookreview)
"Simple Gallery" (sk_simplegallery)
"Typo3 Quixplorer" (t3quixplorer)
"TYPO3 Security - Salted user password hashes" (t3sec_saltedpw)
"UserTask Center, recent" (taskcenter_recent)
"TGM-Newsletter" (tgm_newsletter)
"CleanDB - DBAL" (tmsw_cleandb)
"Meet Travelmates" (travelmate)
"YATSE - Yet another TYPO3 search engine" (yatse)
Un attaquant peut donc employer plusieurs vulnérabilités
d’extensions TYPO3 afin de mener un Cross Site Scripting ou
d’injecter du code SQL.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/TYPO3-vulnerabilites-d-extensions-9516