Avis du CERT-FR

Objet: Vulnérabilités dans Joomla!

Référence	CERTA-2009-AVI-480
Titre	Vulnérabilités dans Joomla!
Date de la première version	06 novembre 2009
Date de la dernière version	06 novembre 2009
Source(s)	Bulletins de sécurité Joomla! du 03 novembre 2009
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Contournement de la politique de sécurité.

Joomla! versions 1.5.14 et antérieures.

Deux vulnérabilités dans Joomla! permettent d'obtenir les versions des extensions installées et de modifier les articles publiés.

Deux vulnérabilités ont été découvertes dans Joomla! :

il est possible de lire le contenu d'un fichier XML d'une extension, ce qui divulgue sa version installée ;
un utilisateur connecté avec des droits Author peut remplacer les articles d'un autre utilisateur.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Bulletins de sécurité Joomla! du 03 novembre 2009 :

http://developer.joomla.org/security/news/305-20091103-core-front-end-editor-issue.html

http://developer.joomla.org/security/news/306-20091103-core-xml-file-read-issue.html