Sécurité Joomla!
Actualités sécurité autour de Joomla! et ses extensions
- Détails
- Écrit par : Stéphane Bourderiou
- Temps de lecture: 1 min
FrSIRT nous informe d'un faille moyenne dans le composant NeoRecruit distribué par NeoJoomla, un correctif est déjà disponible sur le site de l'éditeur."Une vulnérabilité a été identifiée dans NeoRecruit (module pour Joomla), elle pourrait être exploitée afin de conduire des attaques par injection SQL. Ce problème résulte d'une erreur présente au niveau de la fonction "offer_view" qui ne valide pas le paramètre "id", ce qui pourrait être exploité par des attaquants afin d'exécuter des requêtes SQL arbitraires."
Source : FrSIRT
- Détails
- Écrit par : Stéphane Bourderiou
- Temps de lecture: 1 min
Une vulnérabilité a été identifiée dans le composant Akobook et concerne toutes les versions, elle pourrait être exploitée afin de conduire des attaques par injection de srcript HTML.
Input passed to the "gbmail" and "gbpage" parameters in the Mambo installation's index.php script (when "option" is set to "com_akobook" and "func" to "sign") is not properly sanitised before being stored. This can be exploited to insert HTML attributes with script code, which is executed in a user's browser session in context of an affected site when the guestbook is viewed.
Source : http://secunia.com/product/15620/
Il est vrai que ce composant n'est plus développé depuis 2005, si vous utilisez ce composant, nous vous conseillons donc de supprimer ce dernier.
- Détails
- Écrit par : Stéphane Bourderiou
- Temps de lecture: 1 min
Une faille est déclaré dans le composant SimpleFAQ. Nous vous conseillons de mettre rapidement ce composant à jour.Input passed to the "aid" parameter in the Joomla installation's index.php script (when "option" is set to "com_simplefaq" and "task" to "answer") is not properly sanitised before being used in SQL queries. This can be exploited to manipulate SQL queries by injecting arbitrary SQL code.
Successful exploitation allows e.g. retrieving administrator usernames and password hashes.
The vulnerability is confirmed in version 2.40 and reported in version 2.11. Other versions may also be affected.
Source : http://secunia.com/advisories/26556/
Télécharger SimpleFAQ 2.5 - Détails
- Écrit par : Stéphane Bourderiou
- Temps de lecture: 1 min
Suite à la mise à disposition de la dernière version Joomla, de nombreux composants se sont retrouvés incompatible avec cette dernière. En effet la release 1.0.13 est une mise à jour de sécurité et inclue une nouvelle méthode de cryptage des mots de passe.
Quelques solutions sont déjà disponibles sous forme de patch. nous vous conseillons de réaliser une sauvegarde de vos fichiers et de votre base de données avant toutes interventions.
- Détails
- Écrit par : Stéphane Bourderiou
- Temps de lecture: 1 min
Une faille importante de sécurité vient d'être détectée dans le composant de gallerie Expose4. Nous conseillons vivement aux utilisateurs de ce dernier d'appliquer les correctifs au plus vite.
L'opération est très simple, via votre client de FTP, vous devez supprimer les fichiers uploadimg.php et uploadimage.php , présents dans le répertoire administrator/components/com_expose/, et d'appliquer le patch fixant les vulnérabilités.
Pour rappel, Expose est un composant en Flash qui vous permet de créer des diaporamas de très bonne qualité.
Télécharger le patch de sécurité
- Plus d'informations sur cette faille ( forum anglais)
