Risque

  • Contournement de la politique de sécurité ;
  • atteinte à l'intégrité des données ;
  • atteinte à la confidentialité des données ;
  • injection de code indirecte à distance.

Systèmes affectés

  • TYPO3 version 4.3.11 et antérieures ;
  • TYPO3 version 4.4.8 et antérieures ;
  • TYPO3 version 4.5.3 et antérieures.

Résumé

De multiples vulnérabilités dans TYPO3 permettent, entre autres, d'effectuer de l'injection de code indirecte à distance ou de porter atteinte à la confidentialité et à l'intégrité des données.

Description

De multiples vulnérabilités ont été découvertes dans TYPO3 :

  • plusieurs injections de code indirecte à distance sont possibles ;
  • un utilisateur s'authentifiant avec des identifiants erronés recevra des entêtes HTTP différents selon qu'il ait fourni un nom d'utilisateur correct ou non ;
  • un utilisateur peut contourner le délai d'attente imposé aprés avoir fourni des identifiants incorrects ;
  • la fonctionnalité getText peut être utilisée pour récupérer des données arbitraires depuis la base de données TYPO3 ;
  • une vulnérablité liée à l'utilisation de la fonction Unserialize() permet d'effacer arbitrairement les fichiers auxquels le serveur Web a accès.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation