Multiples vulnérabilités dans TYPO3
le 13 novembre 2012
De multiples vulnérabilités ont été corrigées dans TYPO3. Elles permettent à un attaquant une injection de code SQL à distance et une injection de code indirecte à distance (XSS). Elles concernent les composants Backend History Module et Backend API.
Pour corriger la faille, il est nécessaire de mettre à jour Typo3 vers la version 4.5.21, 4.6.14 ou 4.7.6.
Risques
- Atteinte à la confidentialité des données ;
- injection de code indirecte à distance.
Systèmes affectés
- Typo3 versions antérieures à 4.5.21
- Typo3 versions antérieures à 4.6.14
- Typo3 versions antérieures à 4.7.6
Documentation
- Bulletin de sécurité TYPO3 du 08 novembre 2012 : typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2012-005/
- Bulletin de sécurité du CERTA : www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-641
