Typo3 CMS multiples bulletins de sécurité
Par Eric le jeudi 22 mai 2008, 08:44 - Programmation Web et Admin Linux - Lien permanent
Plusieurs extensions sont actuellement corrigées car sensibles entre autres aux Cross site scripting (XSS)
Extension WT Gallery (wt_gallery)
Versions concernées : 2.6.2 et versions précédentes.
Lors de l'upload d'une image, l'arborescence du serveur peut apparaître. Cette extension est également sensible aux XSS.
Télécharger la mise à jour
Extension Questionaire (pbsurvey)
Versions concernées : 1.2.0 et versions précédentes.
L'extension est sensible aux XSS et ne filtre pas les données javascript.
Télécharger la mise à jour
Extension Event Database (rlmp_eventdb)
Versions concernées : 1.1.1 et versions précédentes.
L'extension est sensible aux XSS et ne filtre pas les données javascript.
Télécharger la mise à jour
Extension Statistics (ke_stats)
Versions concernées : 0.1.2 et versions précédentes.
L'extension est sensible aux injections SQL et aux XSS.
Télécharger la mise à jour
Extension Frontend User Registration (sr_feuser_register)
Versions concernées : toutes
L'extension est sensible aux XSS et ne filtre pas les données
javascript. De plus, l'exécution d'une commande à distance peut effacer
certains fichiers du serveur.
Pour les utilisateurs des versions de Typo3 3.x : Télécharger cette mise à jour
Pour les utilisateurs des versions de Typo3 4.x : Télécharger cette mise à jour
Extension Frontend Filemanager (air_filemanager)
Versions concernées : 0.6.0 et versions précédentes
L'extension est sensible aux XSS et ne filtre pas les données
javascript. Du code PHP peut également être inséré dans les pages.
Télécharger la mise à jour
Pour toutes les extensions citées ci-dessus, Typo3 conseille de suivre les recommandations données dans le livre de sécurité.
Lire la liste des bulletins de sécurité
Commentaires