Sécurité Joomla!
Actualités sécurité autour de Joomla! et ses extensions
- Détails
- Stéphane Bourderiou
A l'heure actuel, aucun patch n'est disponible, nous conseillons la plus grande prudence si vous utilisez ce composant.
Source : SecurityFocus
- Détails
- Stéphane Bourderiou
Une vulnérabilité critique a été identifiée dans le composant Flash Slide Show Image Gallery, elle pourrait être exploitée par des attaquants distants afin de compromettre un serveur vulnérable. Ce problème résulte d'une erreur présente au niveau du paramètre de vérification "mosConfig_live_site" dans le fichier admin.slideshow1.php et pourrait être exploité afin de transférer un script PHP malicieux vers un serveur vulnérable et exécuter des commandes arbitraires.
Si vous utilisez ce composant, veuillez vérifier que le paramètre "register_globals" soit sur off et ajouter cette ligne de code au début du fichier admin.slideshow1.php
defined( '_VALID_MOS' ) or die( 'Direct Access to this location is not allowed.' )
Source : http://www.milw0rm.com/
- Détails
- Stéphane Bourderiou
Des vulnérabilités critiques ont été identifiées dans les composants Joomla Flash Fun! et Joom!12Pic, elles pourraient être exploité par des attaquants distants afin de compromettre un serveur vulnérable.
Ces problèmes résultent d'une erreur présente au niveau du paramètre de vérification "mosConfig_live_site" dans les fichiers admin.joomlaradiov5.php et admin.joom12pic.php , et pourrait être exploité afin de transférer un script PHP malicieux vers un serveur vulnérable et exécuter des commandes arbitraires.
Si vous utilisez ces composants, veuillez vérifier que le paramètre "register_globals" soit sur off et ajouter cette ligne de code au début des fichiers admin.joomlaflashfun.php (Joomla Flash Fun!) et admin.joom12pic.php (Joom!12Pic)
defined( '_VALID_MOS' ) or die( 'Direct Access to this location is not allowed.' )
Source : http://www.milw0rm.com/
- Détails
- Stéphane Bourderiou
Une vulnérabilité critique a été identifiée dans le composant Joomlaradio, elle pourrait être exploitée par des attaquants distants afin de compromettre un serveur vulnérable. Ce problème résulte d'une erreur présente au niveau du paramètre de vérification "mosConfig_live_site" dans le fichier admin.joomlaradiov5.php et pourrait être exploité afin de transférer un script PHP malicieux vers un serveur vulnérable et exécuter des commandes arbitraires.
Si vous utilisez ce composant, veuillez vérifier que le paramètre "register_globals" soit sur off et ajouter cette ligne de code au début du fichier admin.joomlaradiov5.php
defined( '_VALID_MOS' ) or die( 'Direct Access to this location is not allowed.' )
La faille est présente dans la version 5.0 en antérieure
Source : http://secunia.com/advisories/26809/
- Détails
- Stéphane Bourderiou
Dans le fichier alberghi.php qui se trouve dans le répertoire /components/com_alberghi/
Supprimer les lignes suivantes
<?php
echo "<table cellpadding='4' cellspacing='0' border='0' width='100%'>";
echo "<tr></td><td width='100%' class='componentheading'>"._ALBERGHI_CARICA."</td></tr></table>";
echo " <form action='index.php?task=uploadhandler' method='post' id='adminForm' name='adminForm' enctype='multipart/form-data' onsubmit='return control();'>";
echo "<table width='100%' border='0' cellpadding='4' cellspacing='2' class='adminForm'>";
echo "<tr align='center' valign='middle'><td align='center' valign='top'>";
echo "<small>"._ALBERGHI_CREAMINIATURE."</small><br />";
echo "<input type='hidden' name='option' value='$option' />";
echo "<input type='hidden' name='owner' value='$my->username' />";
echo "<input type='file' name='screenshot' id='screenshot' />";
echo "<input type='hidden' name='thumbcreation' value='ON' checked />";
echo "<input type='submit' value='"._ALBERGHI_UPLOAD."' />";
echo "</td></tr></table></form>";
ComponentFooter();
et remplacer par
<?php
if ($access->canEdit || ($access->canEditOwn && $item->created_by == $my->id)){
echo "<table cellpadding='4' cellspacing='0' border='0' width='100%'>";
echo "<tr></td><td width='100%' class='componentheading'>"._ALBERGHI_CARICA."</td></tr></table>";
echo " <form action='index.php?task=uploadhandler' method='post' id='adminForm' name='adminForm' enctype='multipart/form-data' onsubmit='return control();'>";
echo "<table width='100%' border='0' cellpadding='4' cellspacing='2' class='adminForm'>";
echo "<tr align='center' valign='middle'><td align='center' valign='top'>";
echo "<small>"._ALBERGHI_CREAMINIATURE."</small><br />";
echo "<input type='hidden' name='option' value='$option' />";
echo "<input type='hidden' name='owner' value='$my->username' />";
echo "<input type='file' name='screenshot' id='screenshot' />";
echo "<input type='hidden' name='thumbcreation' value='ON' checked />";
echo "<input type='submit' value='"._ALBERGHI_UPLOAD."' />";
echo "</td></tr></table></form>";
}else{
echo "Direct Access to this location is not allowed.";
}
ComponentFooter();
Source: http://alberghi.joomlaitalia.com/forum/index.php?topic=675.0
Télécharger la version de sécurité 2.1.3 stable