Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
- Élévation de privilèges
Systèmes affectés
- Joomla! versions 6.x antérieures à 6.1.1
- Joomla! versions antérieures à 5.4.6
Résumé
De multiples vulnérabilités ont été découvertes dans Joomla!. Certaines d'entre elles permettent à un attaquant de provoquer une élévation de privilèges, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Joomla! 1043-20260511 du 26 mai 2026 https://developer.joomla.org/security-centre/1043-20260511-core-mfa-authentication-bypass.html
- Bulletin de sécurité Joomla! 1044-20260512 du 26 mai 2026 https://developer.joomla.org/security-centre/1044-20260512-core-mfa-authentication-bypass.html
- Bulletin de sécurité Joomla! 1045-20260513 du 26 mai 2026 https://developer.joomla.org/security-centre/1045-20260513-core-privilege-escalation-through-com-users-batch-task.html
- Bulletin de sécurité Joomla! 1046-20260514 du 26 mai 2026 https://developer.joomla.org/security-centre/1046-20260514-core-privilege-escalation-through-com-users-webservice-endpoints.html
- Bulletin de sécurité Joomla! 1047-20260515 du 26 mai 2026 https://developer.joomla.org/security-centre/1047-20260515-core-incorrect-access-control-in-sample-data-plugins.html
- Bulletin de sécurité Joomla! 1048-20260516 du 26 mai 2026 https://developer.joomla.org/security-centre/1048-20260516-core-incorrect-access-control-in-com-scheduler.html
- Bulletin de sécurité Joomla! 1049-20260517 du 26 mai 2026 https://developer.joomla.org/security-centre/1049-20260517-core-incorrect-cache-key-construction-for-inputfilter-objects.html
- Bulletin de sécurité Joomla! 1050-20260518 du 26 mai 2026 https://developer.joomla.org/security-centre/1050-20260518-core-transport-encryption-downgrade-for-password-and-username-reset-links.html
- Bulletin de sécurité Joomla! 1051-20260519 du 26 mai 2026 https://developer.joomla.org/security-centre/1051-20260519-framework-inadequate-content-filtering-within-the-checkattribute-filter-code.html
- Bulletin de sécurité Joomla! 1052-20260520 du 26 mai 2026 https://developer.joomla.org/security-centre/1052-20260520-framework-inadequate-content-filtering-within-the-cleanattributes-filter-code.html
- Référence CVE CVE-2026-48896 https://www.cve.org/CVERecord?id=CVE-2026-48896
- Référence CVE CVE-2026-48897 https://www.cve.org/CVERecord?id=CVE-2026-48897
- Référence CVE CVE-2026-48898 https://www.cve.org/CVERecord?id=CVE-2026-48898
- Référence CVE CVE-2026-48899 https://www.cve.org/CVERecord?id=CVE-2026-48899
- Référence CVE CVE-2026-48900 https://www.cve.org/CVERecord?id=CVE-2026-48900
- Référence CVE CVE-2026-48901 https://www.cve.org/CVERecord?id=CVE-2026-48901
- Référence CVE CVE-2026-48902 https://www.cve.org/CVERecord?id=CVE-2026-48902
- Référence CVE CVE-2026-48903 https://www.cve.org/CVERecord?id=CVE-2026-48903
- Référence CVE CVE-2026-48904 https://www.cve.org/CVERecord?id=CVE-2026-48904
- Référence CVE CVE-2026-48905 https://www.cve.org/CVERecord?id=CVE-2026-48905
