Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

[Mise à jour du 31 mars 2022]

  • Joomla! CMS versions 3.x.x antérieures à 3.10.8
  • Joomla! CMS versions 4.x.x antérieures à 4.1.2

Les versions 3.10.8 et 4.1.2 de Joomla contiennent tous les correctifs de sécurité des versions 3.10.7 et 4.1.1 sauf le correctif 20220303 qui a été supprimé à la suite d'un problème d'implémentation.

Si les versions 4.1.1 ou 3.10.7 ont été installées, l'éditeur suggère d'appliquer la procédure suivante :

https://docs.joomla.org/J3.x:After_going_to_4.1,1_or_3.10.7_some_users_can%27t_login_anymore

Résumé

De multiples vulnérabilités ont été découvertes dans Joomla. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation