phpmailerToutes les versions de la bibliothèque tierce PHPMailer distribuée à partir de Joomla! 1.5.0  jusqu'à la version 3.6.5 sont vulnérables à une possible exécution de code à distance.

Sans être trop technique, un attaquant pourrait cibler des extensions d'un site tels que les formulaires de contact ou d'inscription, la réinitialisation d'un mot de passe et d'autres qui envoient des courriels à l'aide d'une version vulnérable de la classe PHPMailer.

Après examen l'équipe de sécurité Joomla! (JSST) a déterminé qu'avec une utilisation correcte de la classe JMail, des validations supplémentaires rendent l'exécution de cette vulnérabilité impossible dans un environnement natif. La version corrigée de PHPMailer 5.2.20 sera incluse à partir de Joomla! 3.7

Concrètement vous n'avez rien à faire pour Joomla! ce qui n'est pas le cas pour certaines extensions utilisant cette classe, selon les composants que vous utilisez, une simple mise à jour suffira à protèger votre environnement.

Source : Joomla! Developer Network

Source : Joomla! Vulnerable Extensions (liste d'extensions à mettre à jour)

A propos de l'auteur
Stéphane Bourderiou
Nom: Stéphane Bourderiou
Fondateur des sites Aide-joomla.fr et SFK
Derniers articles de l'auteur