Sécurité Joomla!

Actualités sécurité autour de Joomla! et ses extensions

Détails
Une vulnérabilité a été identifiée dans le composant Chronoforms et concerne toutes les versions antérieures à la V2.3.5, elle pourrait être exploitée afin de conduire des attaques par injection de script HTML.

Nous vous conseillons d'effectuer rapidement une mise à jour vers la dernière version disponible sur le site de l'éditeur.


Source : Milworm.com

Détails

Des vulnérabilités du type cross-site scripting (XSS) et cross-site request forgery (XSRF) pourraient mettre en danger Joomla!.

Armando Romeo aka Zinho et Jose Carlos Nieto ont rapportés des vulnérabilités, classifiées comme "faiblement critique", pour Joomla! 1.x, qui pourraient être exploitées par un internaute malveillant pour effectuer des attaques du type cross-site request forgery (XSRF) et des attaques du type cross-site scripting (XSS).

Des vulnérabilités sont dues à cause de différents composants et modules de Joomla!, autorisant des utilisateurs à effectuer certaines actions par le biais de requêtes HTTP sans vérifications de celles-ci. Ces erreurs peuvent être exploitées pour, par exemple, ajouter un nouvel super administrateur de Joomla!.

Les entrées envoyées par le biais de options et titres des sondages, du composant "com_poll", ne sont pas traitées correctement avant d'être utilisées. Cette erreur pourrait être exploitée pour injecter du code HTML ou javascript arbitraire qui sera exécuter dans le contexte de navigation de l'internaute cible.

Source : http://www.zataz.com/alerte-securite/16190/vulnerabilites-Joomla!-XSS-XSRF.html 

La team de Joomla! propose d'ores-et-déjà une version 1.0.14 RC1 considérée comme stable pour corriger ces failles, attention si vous décidez d'effectuer cette mise à jour, il est indispensable de réaliser une sauvegarde de vos fichiers via votre client de ftp et un backup de votre base de données Mysql.

Détails

Une vulnérabilité moyenne a été identifiée dans le composant Joomla PU Arcade, elle pourrait être exploitée par des attaquants distants afin de compromettre un serveur vulnérable. Ce problème est présent dans les versions 2.0.3 et 2.1.3 Béta. Il conseillé de mettre rapidement ce composant.

Télécharger la mise à jour

Source : Secunia 

Détails

box_securityimages Une nouvelle version du composant Securityimages de l'auteur Walter Cedric, est disponible depuis quelques jours.

Cette version corrige trois fichiers générant la création des images de sécurité, watercap.php, freecap14.php et imageGenerator.php.

Nous vous conseillons de réaliser le plus rapidement la mise à jour de cet outil.

Télécharger Security images 4.2.2

Détails

logo_virtuemart L'éditeur Virtuemart nous informe de la mise à jour de son composant de E-commerce.

Cette release de sécurité corrige de nombreux bugs et faille présentes dans les versions antérieures, il est vivement recommandé d'appliquer le patch correspondant à votre version.