Vigil@nce - TYPO3 : vulnérabilités d’extensions
février 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités d’extensions
TYPO3 afin de mener un Cross Site Scripting ou d’injecter du code.
– Produits concernés : TYPO3
– Gravité : 2/4
– Date création : 28/01/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans les extensions
TYPO3.
Un attaquant peut injecter un entête email, et provoquer un Cross
Site Scripting dans l’extension Tip-A-Friend Plus
(tipafriend_plus). [grav:2/4]
Un attaquant peut provoquer une injection SQL dans l’extension
Attac Calendar (attacalendar). [grav:2/4]
Un attaquant peut provoquer une injection SQL dans l’extension SEO
Pack for tt_news (lonewsseo). [grav:2/4]
Un attaquant peut uploader un fichier dans l’extension Frontend
File Browser (fefilebrowser). [grav:2/4]
Un attaquant peut provoquer une injection SQL dans l’extension
Exinit job offer (exinit_joboffer). [grav:2/4]
Un attaquant peut provoquer une injection SQL dans l’extension
MySQL2JSON (mn_mysql2json). [grav:2/4]
Un attaquant peut provoquer une injection SQL dans l’extension
Attac Petition (attacpetition). [grav:2/4]
Un attaquant peut provoquer une injection SQL dans l’extension
Subscription (eu_subscribe). [grav:2/4]
Un attaquant peut provoquer une injection SQL dans l’extension
News Search (news_search). [grav:2/4]
Un attaquant peut contourner l’authentification de l’extension
Twitter Auth Service (twitter_auth). [grav:2/4]
Un attaquant peut obtenir le contenu d’un fichier via l’extension
From a csv-file to a html-table (kk_csv2table). [grav:2/4]
Un attaquant peut provoquer un Cross Site Scripting dans
l’extension Javascript and CSS Optimizer (js_css_optimizer).
[grav:2/4]
Un attaquant peut provoquer un Cross Site Scripting dans
l’extension UserTask Center Messaging (sys_messages). [grav:2/4]
Un attaquant peut provoquer une erreur de désérialisation dans
l’extension sofortueberweisung2commerce (sofortueberweisung2commerce).
[grav:2/4]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/TYPO3-vulnerabilites-d-extensions-12353