int(3685)

Vulnerability Bulletins

Inyección SQL en TYPO3

Vulnerability classification
Property Value
Confidence level Oficial
Impact Integridad
Dificulty Experto
Required attacker level Acceso remoto con cuenta

System information
Property Value
Affected manufacturer GNU/Linux
Affected software TYPO3 3.x
TYPO3 4.0 <= 4.0.7
TYPO3 4.1 <= 4.1.3

Description
Se ha encontrado una vulnerabilidad de tipo inyección SQL en TYPO3 en las versiones 3.x, de la 4.0 a la 4.0.7 y de la 4.1 a la 4.1.3. La vulnerabilidad reside en un error de validación de entrada en la extensión de sistema indexed_search.

Un atacante remoto, autenticado, podría ejecutar comandos SQL de forma arbitraria mediante vectores no especificados.

Solution


Actualización de software

Debian (DSA 1439-1)

Debian Linux 4.0
Source
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-4.diff.gz
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian.orig.tar.gz
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src_4.0.2+debian-4.dsc
Architecture independent
http://security.debian.org/pool/updates/main/t/typo3-src/typo3_4.0.2+debian-4_all.deb
http://security.debian.org/pool/updates/main/t/typo3-src/typo3-src-4.0_4.0.2+debian-4_all.deb

Standar resources
Property Value
CVE CVE-2007-6381
BID 26871

Other resources
Debian Security Advisory (DSA 1439-1)
http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00222.html

Version history
Version Comments Date
1.0 Aviso emitido 2008-01-04
Ministerio de Defensa
CNI
CCN
CCN-CERT