Logo_JCEFrSirt nous informe d'une faille dans le composant de commmentaire JCE.

Information du 08/12/2006

Plusieurs vulnérabilités ont été identifiées dans JCE Admin (module pour Joomla), elles pourraient être exploitées par des attaquants distants afin d'accéder à des informations sensibles ou afin d'exécuter un code JavaScript malicieux.

Le premier problème résulte d'erreurs présentes au niveau du fichier "jce.php" qui ne filtre pas correctement les variables "plugin" et "file", ce qui pourrait être exploité par des attaquants distants afin d'inclure des fichiers locaux présents au sein d'un système vulnérable.

La seconde faille résulte d'erreurs présentes au niveau du script "jce.php" qui ne filtre pas les paramètres "img", "title", "w" et "h", ce qui pourrait être exploité par des attaquants afin d'injecter un code HTML/Javascript malicieux coté client.

Versions Vulnérables

JCE Admin (module pour Joomla) version 1.1.0 beta 2 et inférieures
JCE Admin (module pour Joomla) version 1.0.4 (avec patch de sécurité 21-08-2006) et inférieures

Solution

Aucun correctif officiel n'est disponible pour l'instant.

Références


http://www.frsirt.com/bulletins/8262

Nous ne pouvons que féliciter la réactivé des créateurs de ce composant qui viennent de mettre en ligne, une mise à jour corrigeant toutes ces failles.

Nous vous conseillons vivement d'installer rapidement cette mise à jour.

Plus d'informations sur le téléchargement de cette mise à jour.

A propos de l'auteur
Stéphane Bourderiou
Nom: Stéphane Bourderiou
Fondateur des sites Aide-joomla.fr et SFK
Derniers articles de l'auteur