S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 novembre 2011
N° CERTA-2011-AVI-640
Affaire suivie par: CERT-FR
le 15 novembre 2011

Avis du CERT-FR

Objet: Vulnérabilités dans Joomla!

Gestion du document

Référence CERTA-2011-AVI-640
Titre Vulnérabilités dans Joomla!
Date de la première version 15 novembre 2011
Date de la dernière version 15 novembre 2011
Source(s) Bulletins de sécurité Joomla! du 14 novembre 2011
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Accès à distance ;
  • injection de code indirecte à distance.

Systèmes affectés

  • Joomla! versions 1.7.2 et antérieures dans la branche 1.7 et 1.6 ;
  • Joomla! versions 1.5.24 et antérieures dans la branche 1.5.

Résumé

Deux vulnérabilités dans Joomla! permettent de réaliser une injection de code indirecte à distance et de modifier le mot de passe d'un utilisateur.

Description

Deux vulnérabilités ont été découvertes dans Joomla! :

  • un mauvais filtrage permet de réaliser une injection de code indirecte dans le backend (branches 1.6 et 1.7) ;
  • une faiblesse dans la génération de l'aléa lors de la réinitialisation d'un mot de passe permet de le modifier (branches 1.5, 1.6 et 1.7).

Solution

Les versions 1.5.25 et 1.7.3 corrigent ces vulnérabilités.

Documentation

Gestion détaillée du document

    le 15 novembre 2011
    version initiale.