CERTFR-2025-AVI-0028_Multiples vulnerabilites dans Typo3
AVIS CERT
CERT-FR
Publié le 14 janvier 2025 à 21h17 - Mis à jour le 10 février 2025 à 11h57
Objet
Multiples vulnérabilités dans Typo3
Référence
CERTFR-2025-AVI-0028
Risque(s)
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Injection de requêtes illégitimes par rebond (CSRF)
- Non spécifié par l'éditeur
Système(s) affecté(s)
- typo3/cms-belog versions 10.x antérieures à 10.4.48 pour composer
- typo3/cms-belog versions 11.x antérieures à 11.5.42 pour composer
- typo3/cms-belog versions 12.x antérieures à 12.4.25 pour composer
- typo3/cms-belog versions 13.x antérieures à 13.4.3 pour composer
- typo3/cms-beuser versions 10.x antérieures à 10.4.48 pour composer
- typo3/cms-beuser versions 11.x antérieures à 11.5.42 pour composer
- typo3/cms-beuser versions 12.x antérieures à 12.4.25 pour composer
- typo3/cms-beuser versions 13.x antérieures à 13.4.3 pour composer
- typo3/cms-core versions 10.x antérieures à 10.4.48 pour composer
- typo3/cms-core versions 11.x antérieures à 11.5.42 pour composer
- typo3/cms-core versions 12.x antérieures à 12.4.25 pour composer
- typo3/cms-core versions 13.x antérieures à 13.4.3 pour composer
- typo3/cms-core versions 9.x antérieures à 9.5.49 pour composer
- typo3/cms-dashboard versions 10.x antérieures à 10.4.48 pour composer
- typo3/cms-dashboard versions 11.x antérieures à 11.5.42 pour composer
- typo3/cms-dashboard versions 12.x antérieures à 12.4.25 pour composer
- typo3/cms-dashboard versions 13.x antérieures à 13.4.3 pour composer
- typo3/cms-extensionmanager versions 10.x antérieures à 10.4.48 pour composer
- typo3/cms-extensionmanager versions 11.x antérieures à 11.5.42 pour composer
- typo3/cms-extensionmanager versions 12.x antérieures à 12.4.25 pour composer
- typo3/cms-extensionmanager versions 13.x antérieures à 13.4.3 pour composer
- typo3/cms-form versions 10.x antérieures à 10.4.48 pour composer
- typo3/cms-form versions 11.x antérieures à 11.5.42 pour composer
- typo3/cms-form versions 12.x antérieures à 12.4.25 pour composer
- typo3/cms-form versions 13.x antérieures à 13.4.3 pour composer
- typo3/cms-indexed-search versions 10.x antérieures à 10.4.48 pour composer
- typo3/cms-indexed-search versions 11.x antérieures à 11.5.42 pour composer
- typo3/cms-indexed-search versions 12.x antérieures à 12.4.25 pour composer
- typo3/cms-indexed-search versions 13.x antérieures à 13.4.3 pour composer
- typo3/cms-install versions 13.x antérieures à 13.4.3 pour composer
- typo3/cms-lowlevel versions 11.x antérieures à 11.5.42 pour composer
- typo3/cms-scheduler versions 11.x antérieures à 11.5.42 pour composer
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Typo3. Certaines d'entre elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une injection de requêtes illégitimes par rebond (CSRF) et un contournement de la politique de sécurité.
Solution(s)
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation(s)
- Bulletin de sécurité Typo3 GHSA-2fx5-pggv-6jjr du 14 janvier 2025 : https://github.com/TYPO3/typo3/security/advisories/GHSA-2fx5-pggv-6jjr
- Bulletin de sécurité Typo3 GHSA-38x7-cc6w-j27q du 14 janvier 2025 : https://github.com/TYPO3/typo3/security/advisories/GHSA-38x7-cc6w-j27q
- Bulletin de sécurité Typo3 GHSA-4g52-pq8j-6qv5 du 14 janvier 2025 : https://github.com/TYPO3/typo3/security/advisories/GHSA-4g52-pq8j-6qv5
- Bulletin de sécurité Typo3 GHSA-6w4x-gcx3-8p7v du 14 janvier 2025 : https://github.com/TYPO3/typo3/security/advisories/GHSA-6w4x-gcx3-8p7v
- Bulletin de sécurité Typo3 GHSA-7835-fcv3-g256 du 14 janvier 2025 : https://github.com/TYPO3/typo3/security/advisories/GHSA-7835-fcv3-g256
- Bulletin de sécurité Typo3 GHSA-7r5q-4qgx-v545 du 14 janvier 2025 : https://github.com/TYPO3/typo3/security/advisories/GHSA-7r5q-4qgx-v545
- Bulletin de sécurité Typo3 GHSA-8mv3-37rc-pvxj du 14 janvier 2025 : https://github.com/TYPO3/typo3/security/advisories/GHSA-8mv3-37rc-pvxj
- Bulletin de sécurité Typo3 GHSA-cjfr-9f5r-3q93 du 14 janvier 2025 : https://github.com/TYPO3/typo3/security/advisories/GHSA-cjfr-9f5r-3q93
- Bulletin de sécurité Typo3 GHSA-qwx7-39pw-2mhr du 14 janvier 2025 : https://github.com/TYPO3/typo3/security/advisories/GHSA-qwx7-39pw-2mhr
- Bulletin de sécurité Typo3 GHSA-ww7h-g2qf-7xv6 du 14 janvier 2025 : https://github.com/TYPO3/typo3/security/advisories/GHSA-ww7h-g2qf-7xv6
- Référence CVE CVE-2024-55891 : https://www.cve.org/CVERecord?id=CVE-2024-55891
- Référence CVE CVE-2024-55892 : https://www.cve.org/CVERecord?id=CVE-2024-55892
- Référence CVE CVE-2024-55893 : https://www.cve.org/CVERecord?id=CVE-2024-55893
- Référence CVE CVE-2024-55894 : https://www.cve.org/CVERecord?id=CVE-2024-55894
- Référence CVE CVE-2024-55920 : https://www.cve.org/CVERecord?id=CVE-2024-55920
- Référence CVE CVE-2024-55921 : https://www.cve.org/CVERecord?id=CVE-2024-55921
- Référence CVE CVE-2024-55922 : https://www.cve.org/CVERecord?id=CVE-2024-55922
- Référence CVE CVE-2024-55923 : https://www.cve.org/CVERecord?id=CVE-2024-55923
- Référence CVE CVE-2024-55924 : https://www.cve.org/CVERecord?id=CVE-2024-55924
- Référence CVE CVE-2024-55945 : https://www.cve.org/CVERecord?id=CVE-2024-55945