Multiples vulnérabilités dans Typo3

Risques

Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Injection de requêtes illégitimes par rebond (CSRF)
Non spécifié par l'éditeur

Systèmes affectés

typo3/cms-belog versions 10.x antérieures à 10.4.48 pour composer
typo3/cms-belog versions 11.x antérieures à 11.5.42 pour composer
typo3/cms-belog versions 12.x antérieures à 12.4.25 pour composer
typo3/cms-belog versions 13.x antérieures à 13.4.3 pour composer
typo3/cms-beuser versions 10.x antérieures à 10.4.48 pour composer
typo3/cms-beuser versions 11.x antérieures à 11.5.42 pour composer
typo3/cms-beuser versions 12.x antérieures à 12.4.25 pour composer
typo3/cms-beuser versions 13.x antérieures à 13.4.3 pour composer
typo3/cms-core versions 10.x antérieures à 10.4.48 pour composer
typo3/cms-core versions 11.x antérieures à 11.5.42 pour composer
typo3/cms-core versions 12.x antérieures à 12.4.25 pour composer
typo3/cms-core versions 13.x antérieures à 13.4.3 pour composer
typo3/cms-core versions 9.x antérieures à 9.5.49 pour composer
typo3/cms-dashboard versions 10.x antérieures à 10.4.48 pour composer
typo3/cms-dashboard versions 11.x antérieures à 11.5.42 pour composer
typo3/cms-dashboard versions 12.x antérieures à 12.4.25 pour composer
typo3/cms-dashboard versions 13.x antérieures à 13.4.3 pour composer
typo3/cms-extensionmanager versions 10.x antérieures à 10.4.48 pour composer
typo3/cms-extensionmanager versions 11.x antérieures à 11.5.42 pour composer
typo3/cms-extensionmanager versions 12.x antérieures à 12.4.25 pour composer
typo3/cms-extensionmanager versions 13.x antérieures à 13.4.3 pour composer
typo3/cms-form versions 10.x antérieures à 10.4.48 pour composer
typo3/cms-form versions 11.x antérieures à 11.5.42 pour composer
typo3/cms-form versions 12.x antérieures à 12.4.25 pour composer
typo3/cms-form versions 13.x antérieures à 13.4.3 pour composer
typo3/cms-indexed-search versions 10.x antérieures à 10.4.48 pour composer
typo3/cms-indexed-search versions 11.x antérieures à 11.5.42 pour composer
typo3/cms-indexed-search versions 12.x antérieures à 12.4.25 pour composer
typo3/cms-indexed-search versions 13.x antérieures à 13.4.3 pour composer
typo3/cms-install versions 13.x antérieures à 13.4.3 pour composer
typo3/cms-lowlevel versions 11.x antérieures à 11.5.42 pour composer
typo3/cms-scheduler versions 11.x antérieures à 11.5.42 pour composer

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Typo3. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une injection de requêtes illégitimes par rebond (CSRF) et un contournement de la politique de sécurité.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Typo3 GHSA-2fx5-pggv-6jjr du 14 janvier 2025

https://github.com/TYPO3/typo3/security/advisories/GHSA-2fx5-pggv-6jjr

Bulletin de sécurité Typo3 GHSA-38x7-cc6w-j27q du 14 janvier 2025

https://github.com/TYPO3/typo3/security/advisories/GHSA-38x7-cc6w-j27q

Bulletin de sécurité Typo3 GHSA-4g52-pq8j-6qv5 du 14 janvier 2025

https://github.com/TYPO3/typo3/security/advisories/GHSA-4g52-pq8j-6qv5

Bulletin de sécurité Typo3 GHSA-6w4x-gcx3-8p7v du 14 janvier 2025

https://github.com/TYPO3/typo3/security/advisories/GHSA-6w4x-gcx3-8p7v

Bulletin de sécurité Typo3 GHSA-7835-fcv3-g256 du 14 janvier 2025

https://github.com/TYPO3/typo3/security/advisories/GHSA-7835-fcv3-g256

Bulletin de sécurité Typo3 GHSA-7r5q-4qgx-v545 du 14 janvier 2025

https://github.com/TYPO3/typo3/security/advisories/GHSA-7r5q-4qgx-v545

Bulletin de sécurité Typo3 GHSA-8mv3-37rc-pvxj du 14 janvier 2025

https://github.com/TYPO3/typo3/security/advisories/GHSA-8mv3-37rc-pvxj

Bulletin de sécurité Typo3 GHSA-cjfr-9f5r-3q93 du 14 janvier 2025

https://github.com/TYPO3/typo3/security/advisories/GHSA-cjfr-9f5r-3q93

Bulletin de sécurité Typo3 GHSA-qwx7-39pw-2mhr du 14 janvier 2025

https://github.com/TYPO3/typo3/security/advisories/GHSA-qwx7-39pw-2mhr

Bulletin de sécurité Typo3 GHSA-ww7h-g2qf-7xv6 du 14 janvier 2025

https://github.com/TYPO3/typo3/security/advisories/GHSA-ww7h-g2qf-7xv6

Référence CVE CVE-2024-55891

https://www.cve.org/CVERecord?id=CVE-2024-55891

Référence CVE CVE-2024-55892

https://www.cve.org/CVERecord?id=CVE-2024-55892

Référence CVE CVE-2024-55893

https://www.cve.org/CVERecord?id=CVE-2024-55893

Référence CVE CVE-2024-55894

https://www.cve.org/CVERecord?id=CVE-2024-55894

Référence CVE CVE-2024-55920

https://www.cve.org/CVERecord?id=CVE-2024-55920

Référence CVE CVE-2024-55921

https://www.cve.org/CVERecord?id=CVE-2024-55921

Référence CVE CVE-2024-55922

https://www.cve.org/CVERecord?id=CVE-2024-55922

Référence CVE CVE-2024-55923

https://www.cve.org/CVERecord?id=CVE-2024-55923

Référence CVE CVE-2024-55924

https://www.cve.org/CVERecord?id=CVE-2024-55924

Référence CVE CVE-2024-55945

https://www.cve.org/CVERecord?id=CVE-2024-55945

Référence	CERTFR-2025-AVI-0028
Titre	Multiples vulnérabilités dans Typo3
Date de la première version	14 janvier 2025
Date de la dernière version	14 janvier 2025
Source(s)	Bulletin de sécurité Typo3 GHSA-2fx5-pggv-6jjr du 14 janvier 2025 Bulletin de sécurité Typo3 GHSA-38x7-cc6w-j27q du 14 janvier 2025 Bulletin de sécurité Typo3 GHSA-4g52-pq8j-6qv5 du 14 janvier 2025 Bulletin de sécurité Typo3 GHSA-6w4x-gcx3-8p7v du 14 janvier 2025 Bulletin de sécurité Typo3 GHSA-7835-fcv3-g256 du 14 janvier 2025 Bulletin de sécurité Typo3 GHSA-7r5q-4qgx-v545 du 14 janvier 2025 Bulletin de sécurité Typo3 GHSA-8mv3-37rc-pvxj du 14 janvier 2025 Bulletin de sécurité Typo3 GHSA-cjfr-9f5r-3q93 du 14 janvier 2025 Bulletin de sécurité Typo3 GHSA-qwx7-39pw-2mhr du 14 janvier 2025 Bulletin de sécurité Typo3 GHSA-ww7h-g2qf-7xv6 du 14 janvier 2025
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Typo3

Gestion du document

Risques

Systèmes affectés

Résumé

Solutions

Documentation

Gestion détaillée du document