S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 11 février 2009
N° CERTA-2009-AVI-063
Affaire suivie par: CERT-FR
le 11 février 2009

Avis du CERT-FR

Objet: Vulnérabilités de TYPO3

Gestion du document

Référence CERTA-2009-AVI-063
Titre Vulnérabilités de TYPO3
Date de la première version 11 février 2009
Date de la dernière version 11 février 2009
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • atteinte à la confidentialité des données.

Systèmes affectés

TYPO3 versions 3.x et 4.x

Résumé

Des vulnérabilités dans TYPO3 permettent à un utilisateur malveillant d'exécuter du code à distance et de porter atteinte à la confidentialité de données.

Description

Deux vulnérabilités de TYPO3 sont publiées :

  • la première réside dans un défaut de validation de données entrées par l'utilisateur. Elle permet à un utilisateur malveillant de réaliser de l'injection de code indirecte (XSS ou cross-site scripting) ;
  • la deuxième réside dans une faiblesse du mécanisme de suivi des accès aux pages, jumpUrl. Son exploitation permet à un utilisateur malveillant non authentifié de lire des informations sensibles. L'attaquant peut également exécuter du code arbitraire à distance.

Un code d'exploitation de la seconde vulnérabilité est disponible sur l'internet.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 11 février 2009
    version initiale.