TuniBuzz! Digg-like de bookmarking social & Agrégateur de blogs

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités d'extensions TYPO3 afin de mener un Cross Site Scripting ou d'injecter du code SQL.

Gravité : 2/4

Conséquences : accès/droits utilisateur, accès/droits client, lecture de données

Provenance : client internet

Moyen d'attaque : aucun démonstrateur, aucune attaque

Compétence de l'attaquant : expert (4/4)

Confiance : confirmé par l'éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Nombre de vulnérabilités dans ce bulletin : 7

Date création : 01/02/2010

PRODUITS CONCERNÉS

TYPO3

DESCRIPTION DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités des extensions TYPO3.

Un attaquant peut provoquer des injections SQL et des Cross Site Scripting dans l'extension T3BLOG (t3blog). [grav:2/4 ; BID-38030, TYPO3-SA-2010-002]

Un attaquant peut provoquer une injection SQL dans l'extension Event Manager (eventmanagement). [grav:2/4 ; TYPO3-SA-2010-003]

Un attaquant peut provoquer une injection SQL dans l'extension Game Article DB (game_articledb). [grav:2/4 ; TYPO3-SA-2010-003]

Un attaquant peut provoquer une injection SQL et un Cross Site Scripting dans l'extension Simple career (ml_career). [grav:2/4 ; TYPO3-SA-2010-003]

Un attaquant peut provoquer une injection SQL dans l'extension Surprise Calendar (ml_surprisecalendar) [grav:2/4 ; TYPO3-SA-2010-003]

Un attaquant peut provoquer un Cross Site Scripting dans l'extension Search Api Ajax Google (searchajaxgoogle). [grav:2/4 ; TYPO3-SA-2010-003]

Un attaquant peut obtenir des informations via l'extension Download Manager (spr_downloadmanager). [grav:1/4 ; TYPO3-SA-2010-003]

CARACTÉRISTIQUES

Références : BID-38030, TYPO3-SA-2010-002, TYPO3-SA-2010-003, VIGILANCE-VUL-9394

http://vigilance.fr/vulnerabilite/T...

SYNTHÈSE DE LA VULNÉRABILITÉ Un attaquant peut employer plusieurs vulnérabilités d'extensions TYPO3 afin de mener un Cross Site Scripting ou d'injecter du code SQL. Gravité : 2/4 Conséquences : accès/droits utilisateur, accès/droits client, lecture de données Provenance : client internet Moyen d'attaque : aucun démonstrateur, aucune attaque Compétence de l'attaquant : expert (4/4) Confiance : confirmé par l'éditeur (5/5) Diffusion de la configuration (...) - Vulnérabilités