{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"TYPO3 versions 4.2.0 \u00e0 4.2.3.","product":{"name":"Typo3","vendor":{"name":"Typo3","scada":false}}},{"description":"TYPO3 versions 4.0.0 \u00e0 4.0.9 ;","product":{"name":"Typo3","vendor":{"name":"Typo3","scada":false}}},{"description":"TYPO3 versions 4.1.0 \u00e0 4.1.7 ;","product":{"name":"Typo3","vendor":{"name":"Typo3","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nDe multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans TYPO3 :\n\n-   la cl\u00e9 de chiffrement utilis\u00e9e par TYPO3 a une faible entropie ;\n-   les jetons de session ne sont pas correctement invalid\u00e9s et peuvent\n    \u00eatre rejou\u00e9s ;\n-   le moteur de recherche index\u00e9e ne filtre pas correctement les\n    param\u00e8tres, ce qui permet une ex\u00e9cution de commandes arbitraires \u00e0\n    distance. Par ailleurs, le nom et le contenu des fichiers \u00e0 indexer\n    ne sont pas non plus correctement filtr\u00e9s, ce qui permet de r\u00e9aliser\n    des attaques de type cross-site scripting ;\n-   des attaques de type cross-site scripting sont possibles via les\n    composants ADOdb et Workspace.\n\n## Solution\n\nMettre \u00e0 jour TYPO3 en version 4.0.10, 4.1.8 ou 4.2.4. L'application des\nmises \u00e0 jour ne suffit pas \u00e0 corriger toutes les vuln\u00e9rabilit\u00e9s, il est\n\u00e9galement n\u00e9cessaire de cr\u00e9er une nouvelle cl\u00e9 de chiffrement. Cette\nproc\u00e9dure est d\u00e9crite dans le bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur (voir\nsection Documentation).\n","cves":[{"name":"CVE-2009-0257","url":"https://www.cve.org/CVERecord?id=CVE-2009-0257"},{"name":"CVE-2009-0255","url":"https://www.cve.org/CVERecord?id=CVE-2009-0255"},{"name":"CVE-2009-0256","url":"https://www.cve.org/CVERecord?id=CVE-2009-0256"},{"name":"CVE-2009-0258","url":"https://www.cve.org/CVERecord?id=CVE-2009-0258"}],"links":[{"title":"R\u00e9f\u00e9rence CVE CVE-2009-0258 :","url":"http://cve.mitre.org/cgi-bin/cvename.cge?name=CVE-2009-258"},{"title":"R\u00e9f\u00e9rence CVE CVE-2009-0257 :","url":"http://cve.mitre.org/cgi-bin/cvename.cge?name=CVE-2009-257"},{"title":"R\u00e9f\u00e9rence CVE CVE-2009-0255 :","url":"http://cve.mitre.org/cgi-bin/cvename.cge?name=CVE-2009-255"},{"title":"R\u00e9f\u00e9rence CVE CVE-2009-0256 :","url":"http://cve.mitre.org/cgi-bin/cvename.cge?name=CVE-2009-256"}],"reference":"CERTA-2009-AVI-024","revisions":[{"description":"version initiale.","revision_date":"2009-01-21T00:00:00.000000"}],"risks":[{"description":"Injections de code indirectes"},{"description":"Ex\u00e9cution de commandes arbitraires \u00e0 distance"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"De multiples vuln\u00e9rabilit\u00e9s dans <span class=\"textit\">TYPO3</span>\npermettent une ex\u00e9cution de commandes arbitraires \u00e0 distance, diverses\ninjections de code indirectes ou un contournement de la politique de\ns\u00e9curit\u00e9.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans TYPO3","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 TYPO3-SA-2009-001","url":"http://typo3.org/teams/security/security-bulletins/typo3-sa-2009-001/"}]}