{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Versions ant\u00e9rieures \u00e0 TYPO3 4.4.14, 4.5.14 et 4.6.7.</P>","content":"## Description\n\nUne exploitation de ces vuln\u00e9rabilit\u00e9s peut conduire \u00e0 des fuites\nd'informations et \u00e0 des injections de codes \u00e0 distance (XSS). Parmi ces\nfailles une affecte la fonction t3lib_div::RemoveXSS() lors du filtrage\nde certains caract\u00e8res HTML sp\u00e9cifiques. La deuxi\u00e8me est, elle aussi, de\ntype XSS mais requiert d'avoir un acc\u00e8s utilisateur sur l'application.\nLa troisi\u00e8me donne directement acc\u00e8s au CLI (Command Line Interface) et\npermet de d\u00e9couvrir le nom de la base de donn\u00e9es TYPO3. Enfin la\nderni\u00e8re permet de \"d\u00e9-s\u00e9rialiser\" arbitrairement des objets de TYPO3.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2012-1607","url":"https://www.cve.org/CVERecord?id=CVE-2012-1607"},{"name":"CVE-2012-1608","url":"https://www.cve.org/CVERecord?id=CVE-2012-1608"},{"name":"CVE-2012-1606","url":"https://www.cve.org/CVERecord?id=CVE-2012-1606"},{"name":"CVE-2012-1605","url":"https://www.cve.org/CVERecord?id=CVE-2012-1605"}],"links":[],"reference":"CERTA-2012-AVI-181","revisions":[{"description":"version initiale.","revision_date":"2012-03-30T00:00:00.000000"}],"risks":[{"description":"Injection de code indirecte \u00e0 distance"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Quatre vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 corrig\u00e9es dans TYPO3.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans TYPO3","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 TYPO3 sa-2012-001 du 28 mars 2012","url":"http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2012-001/"}]}