Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

TYPO3 CMW Linklist Extension category_uid : Injection SQL

22/01/2007 13H03
Référence Secunia : SA14465 
Date de publication : 2005-03-04
Dernière mise à jour : 2005-03-10

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Manipulation de données
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
CMW Linklist 1.x (extension pour TYPO3)

Référence CVE :
CVE-2005-0658


Description :
Fabian Becker a rapporté une vulnérabilité dans le CMW Linklist extension pour TYPO3, qui pourrait être exploitée par des personnes malintentionnées pour conduire des attaques SQL.

L'entrée passée au paramètre "category_uid" parameter n'est pas correctement filtrée avant d'être utilisée dans une requête SQL. Cela pourrait être exploité pour manipuler les interrogations SQL en injectant du code SQL arbitraire.


Solutions :
Mettre à jour en version 1.4.2.
http://typo3.org/extensions/repository/list/cmw_linklist/details/


Vulnérabilité découverte par :

Fabian Becker
Historique :
2005-03-10: Référence CVE ajoutée.




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.