Typo3 : le CERT-FR signale dix failles critiques, dont l'exécution de code à distance

14/6/26
👈 les autres actualités

Le CERT-FR a publié le 10 juin 2026 l'avis CERTFR-2026-AVI-0722, documentant dix vulnérabilités dans Typo3, l'un des systèmes de gestion de contenu open source les plus déployés dans les administrations, universités et grandes entreprises européennes. La liste des risques est inhabituellement large : exécution de code arbitraire à distance, injection SQL, élévation de privilèges et atteinte à la confidentialité des données. Autant de portes d'entrée potentielles vers les données personnelles que ces sites hébergent.

Ce qui s'est passé

L'avis du CERT-FR s'appuie sur dix bulletins de sécurité GHSA publiés par l'éditeur le 9 juin 2026 et couvre dix références CVE (CVE-2026-11607, CVE-2026-47348 à 47352, et CVE-2026-49738 à 49742). Les versions concernées traversent toutes les branches encore maintenues du CMS : Typo3 antérieures à 10.4.57, branche 11.x antérieure à 11.5.51, 12.x antérieure à 12.4.46, 13.x antérieure à 13.4.31 et 14.x antérieure à 14.3.3.

Le spectre des risques identifiés est particulièrement étendu : au-delà de l'exécution de code à distance — la catégorie la plus grave, car elle peut donner à un attaquant le contrôle du serveur — l'avis mentionne l'injection SQL, l'injection de code indirecte à distance (XSS), l'élévation de privilèges, le contournement de la politique de sécurité et l'atteinte à l'intégrité comme à la confidentialité des données. Les correctifs sont disponibles dans les versions de maintenance publiées par Typo3.

Pourquoi c'est important

Un CMS comme Typo3 n'est pas un logiciel anodin : il pilote des sites institutionnels qui collectent des formulaires de contact, des comptes utilisateurs, des espaces extranet, parfois des données de santé ou des dossiers d'usagers. Une faille de confidentialité ou une exécution de code à distance sur un tel socle expose directement des données personnelles, ce qui fait basculer l'incident technique dans le champ du RGPD.

L'article 32 du RGPD impose au responsable de traitement et à son sous-traitant des mesures de sécurité « adaptées à l'état de l'art ». Or l'application des correctifs signalés par le CERT-FR fait précisément partie de cet état de l'art : ne pas patcher une vulnérabilité documentée publiquement, c'est s'exposer à voir sa diligence remise en cause en cas de contrôle. Si une exploitation conduit à une compromission de données, la chaîne d'obligations s'enclenche : notification à la CNIL sous 72 heures, communication aux personnes concernées le cas échéant, et notification à l'ANSSI pour les entités assujetties à NIS 2. Notre guide sur la gestion des violations de données détaille la marche à suivre.

Ce nouvel avis s'inscrit dans une série continue d'alertes du CERT-FR sur les outils open source largement déployés dans le secteur public. Leto a déjà documenté des avis comparables sur Moodle, autre CMS éducatif, et sur GLPI, logiciel de gestion de parc informatique. Le scénario se répète : un éditeur publie ses correctifs, le CERT-FR relaie, et les organisations qui n'ont pas inventorié leurs instances passent à côté de l'alerte.

Ce que ça change pour les organisations

La réponse opérationnelle tient en quelques gestes, mais ils supposent une organisation déjà en place. D'abord, inventorier les instances Typo3 exposées — y compris les sites secondaires, microsites de campagne et environnements de préproduction souvent oubliés. Ensuite, appliquer les correctifs en priorisant les instances accessibles depuis Internet, qui constituent la surface d'attaque la plus immédiate.

En parallèle, il faut analyser les journaux pour détecter une éventuelle exploitation antérieure à la mise à jour, et documenter la décision : date de l'avis, instances concernées, date de patch, mesures transitoires. Cette traçabilité est la preuve de diligence qui sera demandée en cas d'incident. Enfin, lorsque le site Typo3 est géré par un prestataire, c'est le moment de vérifier les obligations contractuelles de ce sous-traitant au titre de l'article 28 : qui patche, dans quels délais, et qui notifie en cas de faille ?

Ce que Leto pense de cette décision

Dix CVE sur cinq branches de versions, le même jour : l'avis Typo3 illustre une réalité que beaucoup d'organisations sous-estiment encore. La conformité RGPD ne se joue pas seulement dans les registres et les politiques, mais dans la capacité concrète à recevoir une alerte du CERT-FR, à savoir où sont ses instances vulnérables, et à patcher vite. Une veille de sécurité branchée sur la cartographie des traitements n'est plus un luxe : c'est la traduction opérationnelle de l'article 32. Les organisations qui traitent ces avis comme du bruit de fond seront aussi celles qui découvriront leur exposition au moment de la fuite — c'est-à-dire trop tard.

Sources : CERT-FR — Avis CERTFR-2026-AVI-0722, Multiples vulnérabilités dans Typo3 · Typo3 — Security Advisories

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026