Sécurité Joomla!
Actualités sécurité autour de Joomla! et ses extensions
- Détails
- Écrit par : Stéphane Bourderiou
- Temps de lecture: 1 min
Une faille est identifiée dans le composant Phoca Documentation, elle pourrait être exploitée afin de transférer un script PHP malicieux vers un serveur vulnérable et exécuter des commandes arbitraires.
Cette faille est confirmée dans la version 1.0.1 et les versions antérieures pourraient être aussi concernées. Nous vous conseillons la plus grande prudence sur l'utilisation de ce composant dans l'attente d'une mise à jour par l'éditeur .
- Source : MilwOrm
- Détails
- Écrit par : Stéphane Bourderiou
- Temps de lecture: 1 min
Une faille est identifiée dans le composant Simple-Review, elle pourrait être exploitée afin de transférer un script PHP malicieux vers un serveur vulnérable et exécuter des commandes arbitraires.
Cette faille est confirmée dans la version 1.3.5 et les versions supérieurs pourraient être aussi concernées. Nous vous conseillons la plus grande prudence sur l'utilisation de ce composant dans l'attente d'une mise à jour par l'éditeur .
- Source : MilwOrm
- Détails
- Écrit par : Sarki
- Temps de lecture: 2 mins
J'ai le plaisir de vous annoncer qu'une mise à jour du mambot JCE 1.1.9 pour Joomla! 1.0.x vous est proposée en version FR.Cette mise à jour est une mise à jour de sécurité !
Les plugins "Adhérent" ont aussi été mis à jour par l'auteur.
C'est un francophone, Sylvain, qui m'a informé qu'il était possible par une combinaison d'url, d'afficher uniquement l'iframe du gestionnaire de fichiers de JCE et, le répertoire souhaité du site, voir un supérieur s'il est en sous-répertoire.
Une consultation uniquement des contenus, sans changement possible, mais qui peut s'avérer bien gênante si vous avez des fichiers aux noms représentatifs ou sensibles (nom de client, fichier confidentiel, etc.)
Une première analyse par un membre de la core team de Joomla.org a conduit au passage de l'information à l'auteur Ryan Demmer qui, en deux jours, a proposé une solution à cette faille.
Je l'en remercie.
- Détails
- Écrit par : Stéphane Bourderiou
- Temps de lecture: 1 min
Une nouvelle version de sécurité du composant de galerie Mydyngallery vient d'être publiée suite à l'annonce publiée hier (cf: cette actualité )
Nous ne pouvons que constater la réactivité de l'auteur de ce composant qui a corrigé le problème dans la journée.
- Détails
- Écrit par : Stéphane Bourderiou
- Temps de lecture: 1 min
Une faille de type injection sql est présente dans le composant de galerie Mydyngallery et pourrait mettre en danger un serveur vulnérable.
Cette faille est présente dans la dernière version en date 1.4.2 et concerne aussi les versions antérieures, dans l'attente d'un correctif de l'auteur, nous vous conseillons la plus grande prudence quant à l'utilisation de cette extension, voir ne plus l'utiliser provisoirement.
- Site de l'auteur : mydyngallery.mon-cottenchy.fr
- Source de l'exploit : Milw0rm.com
