Risque
- Exécution de code arbitraire à distance ;
- contournement de la politique de sécurité ;
- atteinte à la confidentialité des données ;
- injection de code indirecte à distance.
Systèmes affectés
- TYPO3 versions 4.2.15 et antérieures ;
- TYPO3 versions 4.3.8 et antérieures ;
- TYPO3 versions 4.4.4 et antérieures.
Résumé
De multiples vulnérabilités dans TYPO3 permettent, entre autres, d'exécuter du code arbitraire à distance.
Description
De multiples vulnérabilités ont été découvertes dans TYPO3 :
- une injection de code indirecte est possible dans le frontend si la fonctionnalité caching framework est activée (les versions 4.2.x ne sont pas concernées) ;
- un utilisateur légitime du backend peut injecter du code HTML ou javascript ;
- il est possible de contourner la vérification des données transmises par les utilisateurs (mécanisme de protection contre les inclusions de fichiers PHP), ce qui permet l'exécution de code arbitraire à distance ;
- un utilisateur légitime pouvant utiliser les outils d'installation peut réaliser plusieurs injections de code indirectes ;
- des remontées de répertoires sont possibles via la bibliothèque unzip ;
- un utilisateur légitime du backend peut réaliser injection SQL via le module list ;
- dans une configuration SQL particulière (mode NO_BACKSLASH_ESCAPES), il est possible de faire des requêtes LIKE avec des jokers, ce qui permet d'avoir accès à des enregistrements théoriquement inaccessibles.
Solution
Les versions 4.2.16, 4.3.9 et 4.4.5 de TYPO3 corrigent ces vulnérabilités.
Documentation
- Bulletin de sécurité TYPO3-SA-2010-022 du 16 décembre 2010 :
http://typo3.org/teams/security/security-bulletins/typo3-sa-2010-022/
