Des vulnérabilités du type cross-site scripting (XSS) et cross-site request forgery (XSRF) pourraient mettre en danger Joomla!.
Armando Romeo aka Zinho et Jose Carlos Nieto ont rapportés des vulnérabilités, classifiées comme "faiblement critique", pour Joomla! 1.x, qui pourraient être exploitées par un internaute malveillant pour effectuer des attaques du type cross-site request forgery (XSRF) et des attaques du type cross-site scripting (XSS).
Des vulnérabilités sont dues à cause de différents composants et modules de Joomla!, autorisant des utilisateurs à effectuer certaines actions par le biais de requêtes HTTP sans vérifications de celles-ci. Ces erreurs peuvent être exploitées pour, par exemple, ajouter un nouvel super administrateur de Joomla!.
Les entrées envoyées par le biais de options et titres des sondages, du composant "com_poll", ne sont pas traitées correctement avant d'être utilisées. Cette erreur pourrait être exploitée pour injecter du code HTML ou javascript arbitraire qui sera exécuter dans le contexte de navigation de l'internaute cible.
La team de Joomla! propose d'ores-et-déjà une version 1.0.14 RC1 considérée comme stable pour corriger ces failles, attention si vous décidez d'effectuer cette mise à jour, il est indispensable de réaliser une sauvegarde de vos fichiers via votre client de ftp et un backup de votre base de données Mysql.
