Actualités sécurité autour de Joomla! et ses extensions

dangerUne vulnérabilité a été trouvé dans l'éditeur Xstandard installé nativement dans Joomla!.

Cette vulnérabilté pourrait être exploitée afin d'afficher le contenu de n'importe quels fichiers sur un système vulnérable via des attaques directory traversal ( qui permet à un attaquant d'avoir accès à des informations sensibles).

Cette faille est confirmée dans Joomla 1.5.8 et les versions antérieures.

Si vous n'utilisez pas cet éditeur, nous vous conseillons de le supprimer dans l'attente d'un correctif.

[MAJ] Faille fixée dans Joomla 1.5.9

Source : Secunia

Une faille est identifiée dans le composant Phoca Documentation, elle pourrait être exploitée afin de transférer un script PHP malicieux vers un serveur vulnérable et exécuter des commandes arbitraires.

Cette faille est confirmée dans la version 1.0.1 et les versions antérieures pourraient être aussi concernées. Nous vous conseillons la plus grande prudence sur l'utilisation de ce composant dans l'attente d'une mise à jour par l'éditeur .

Une faille est identifiée dans le composant Simple-Review, elle pourrait être exploitée afin de transférer un script PHP malicieux vers un serveur vulnérable et exécuter des commandes arbitraires.

Cette faille est confirmée dans la version 1.3.5 et les versions supérieurs pourraient être aussi concernées. Nous vous conseillons la plus grande prudence sur l'utilisation de ce composant dans l'attente d'une mise à jour par l'éditeur .

J'ai le plaisir de vous annoncer qu'une mise à jour du mambot JCE 1.1.9 pour Joomla! 1.0.x vous est proposée en version FR.
Cette mise à jour est une mise à jour de sécurité !
Les plugins "Adhérent" ont aussi été mis à jour par l'auteur.
C'est un francophone, Sylvain, qui m'a informé qu'il était possible par une combinaison d'url, d'afficher uniquement l'iframe du gestionnaire de fichiers de JCE et, le répertoire souhaité du site, voir un supérieur s'il est en sous-répertoire.
Une consultation uniquement des contenus, sans changement possible, mais qui peut s'avérer bien gênante si vous avez des fichiers aux noms représentatifs ou sensibles (nom de client, fichier confidentiel, etc.)
Une première analyse par un membre de la core team de Joomla.org a conduit au passage de l'information à l'auteur Ryan Demmer qui, en deux jours, a proposé une solution à cette faille.
Je l'en remercie.

Une nouvelle version de sécurité du composant de galerie Mydyngallery vient d'être publiée suite à l'annonce publiée hier (cf: cette actualité )

Nous ne pouvons que constater la réactivité de l'auteur de ce composant qui a corrigé le problème dans la journée.

Plus d'informations sur la mise à jour