CERTFR-2022-AVI-285 : Multiples vulnérabilités dans Joomla (30 mars 2022)
Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
Systèmes
affectés
- Joomla! CMS versions 3.x.x antérieures à 3.10.7
- Joomla! CMS versions 4.x.x antérieures à 4.1.1
Résumé
De multiples vulnérabilités ont été découvertes dans Joomla. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Joomla 870-20220301 du 29 mars 2022
https://developer.joomla.org/security-centre/870-20220301-core-zip-slip-within-the-tar-extractor.html - Bulletin de sécurité Joomla 870-20220302 du 29 mars 2022
https://developer.joomla.org/security-centre/871-20220302-core-path-disclosure-within-filesystem-error-messages.html - Bulletin de sécurité Joomla 872-20220303 du 29 mars 2022
https://developer.joomla.org/security-centre/872-20220303-core-user-row-are-not-bound-to-a-authentication-mechanism.html - Bulletin de sécurité Joomla 874-20220305 du 29 mars 2022
https://developer.joomla.org/security-centre/874-20220305-core-inadequate-filtering-on-the-selected-ids.html - Bulletin de sécurité Joomla 875-20220306 du 29 mars 2022
https://developer.joomla.org/security-centre/875-20220306-core-inadequate-validation-of-internal-urls.html - Bulletin de sécurité Joomla 876-20220307 du 29 mars 2022
https://developer.joomla.org/security-centre/876-20220307-core-variable-tampering-on-jinput-request-data.html - Bulletin de sécurité Joomla 877-20220308 du 29 mars 2022
https://developer.joomla.org/security-centre/877-20220308-core-inadequate-content-filtering-within-the-filter-code.html - Bulletin de sécurité Joomla 878-20220309 du 29 mars 2022
https://developer.joomla.org/security-centre/878-20220309-core-xss-attack-vector-through-svg.html - Référence CVE CVE-2022-23793
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23793 - Référence CVE CVE-2022-23794
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23794 - Référence CVE CVE-2022-23795
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23795 - Référence CVE CVE-2022-23797
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23797 - Référence CVE CVE-2022-23798
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23798 - Référence CVE CVE-2022-23799
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23799 - Référence CVE CVE-2022-23800
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23800 - Référence CVE CVE-2022-23801
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23801
- Vues : 248