Ajouter un commentaire

[News sécurité] Faille sur une extension "browser - TYPO3 without PHP"

Le 31 Mai 2016 une faille de sécurité concernant l'extension "browser - TYPO3 without PHP" a été découverte.

Que permet-elle ?

Bien exploitée cette dernière permettrait à une personne malintentionnée de faire de l'injection sql.

Comment vérifier si je suis impacté ?

Les versions 7.4.8 et inférieures de l'extension browser sont concernées. Vous pouvez vérifier si votre site est vulnérable en executant les commandes suivantes :

#updatedb
#locate *.t3x

Si vous trouvez « browser_7.4.8.t3x » ou une version inférieure, vous êtes concerné.
Note : l'extension browser ne fait pas partie de l'installation par defaut de TYPO3.

Comment la corriger ?

L'éditeur de TYPO3 considère cette faille comme étant de severité moyenne et recommande de mettre à jour dès que possible.
Une version 7.5.0 est disponible dans le TYPO3 extension manager et à l'adresse https://typo3.org/extensions/repository/download/browser/7.5.0/t3x/.

Plus généralement TYPO3 recommande la page https://docs.typo3.org/typo3cms/SecurityGuide/ et de s'inscrire sur leur liste de diffusion.

Si vous disposez d'une prestation en infogérance complète sachez que nos équipes ont déjà fait le nécessaire.

Source: https://typo3.org/news/article/sql-injection-in-extension-browser-typo3-without-php-browser#