S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 14 mai 2024
N° CERTFR-2024-AVI-0394
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Typo3

Gestion du document

Référence CERTFR-2024-AVI-0394
Titre Multiples vulnérabilités dans les produits Typo3
Date de la première version 14 mai 2024
Date de la dernière version 14 mai 2024
Source(s) Bulletin de sécurité Typo3 GHSA-36g8-62qv-5957 du 14 mai 2024
Bulletin de sécurité Typo3 GHSA-hw6c-6gwq-3m3m du 14 mai 2024
Bulletin de sécurité Typo3 GHSA-v6mw-h7w6-59w3 du 14 mai 2024
Bulletin de sécurité Typo3 GHSA-xjwx-78x7-q6jc du 14 mai 2024
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • Typo3 versions 10.x antérieures à 10.4.45
  • Typo3 versions 11.x antérieures à 11.5.37
  • Typo3 versions 12.x antérieures à 12.4.15
  • Typo3 versions 13.x antérieures à 13.1.1
  • Typo3 versions 9.x antérieures à 9.5.48

Résumé

De multiples vulnérabilités ont été découvertes dans Typo3. Elles permettent à un attaquant de provoquer un déni de service à distance, une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 14 mai 2024
    Version initiale