Multiples vulnérabilités dans le CMS Typo3
Date de publication :
De multiples vulnérabilités ont été découvertes dans le CMS (système de gestion de contenu) Typo3, la plus critique pouvant conduire à une compromission du système à distance.
CVE-2019-19849 [Score CVSS v3 : 8.8] : Les classes QueryGenerator et QueryView contiennent une vulnérabilité du type désérialisation non sécurisée. Cette vulnérabilité est annoncée comme exploitable à distance et pourrait conduire à la compromission du système.
L’exploitation de cette vulnérabilité nécessite la présence d’une des conditions suivantes :
- Avoir l’extension système ext:lowlevel et le module DB Check activés.
- Avoir l’extension système ext:sys_action installée.
La désérialisation est le processus de restauration de données d'un format brut à un format structuré. Malgré la restauration possible des données, leur intégrité n'est pas garantie. En effet, elles peuvent avoir été modifiées. Elles doivent donc être vérifiées et considérées comme dangereuses car elles proviennent d'utilisateurs externes.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Fuite d'informations
- Déni de service à distance
- Compromission du système
Criticité
- Score CVSS maximum : 8.8
Existence d’un code d’exploitation de la vulnérabilité
- Aucun
Composants et versions vulnérables
- Typo3 versions 8.x avant 8.7.30
- Typo3 versions 9.x avant 9.5.12
- Typo3 versions 10.x avant 10.2.2
CVE
Solutions ou recommandations
Mise en place de correctif de sécurité
- Mettre à jour TYPO3 vers les versions 8.7.30, 9.5.12 ou 10.2.2.
Solution de contournement
- Aucune