Vigil@nce - TYPO3 : vulnérabilités de Formhandler
novembre 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer deux vulnérabilités de l’extension
Formhandler de TYPO3, afin d’injecter du code SQL, ou de provoquer
un Cross Site Scripting.
Produits concernés : TYPO3
Gravité : 2/4
Date création : 30/10/2012
DESCRIPTION DE LA VULNÉRABILITÉ
Deux vulnérabilités ont été annoncées dans l’extension Formhandler
de TYPO3.
Un attaquant authentifié avec les permissions d’utilisation de
Formhandler, peut injecter du code SQL, afin d’effacer les
données. [grav:1/4]
Les données utilisateur ne sont pas correctement filtrées avant
d’être affichées dans une page HTML, ce qui permet à un attaquant
de mener un Cross Site Scripting. [grav:2/4]
Un attaquant peut donc employer deux vulnérabilités de l’extension
Formhandler de TYPO3, afin d’injecter du code SQL, ou de provoquer
un Cross Site Scripting.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/TYPO3-vulnerabilites-de-Formhandler-12101