Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Joomla! version 1.03 et versions antérieures.
Résumé
Plusieurs vulnérabilités dans Joomla! permettent à un utilisateur mal intentionné d'effectuer des attaques par injection de requêtes SQL ou de type Cross Site Scripting.
Description
Joomla! est un logiciel libre de gestion de contenu (CMS, Content Management System).
Plusieurs vulnérabilités ont été découvertes dans ce logiciel :
- La première vulnérabilité se situe au niveau du module Polls et permet d'injecter des requêtes SQL malicieuses à distance;
- La seconde se situe au niveau de la classe mosDBTable et permet aussi d'injecter des requêtes SQL malicieuses à distance;
- Enfin, la dernière se situe au niveau de plusieurs scripts, et permet d'effectuer des attaques de type Cross Site Scripting.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité de Joomla! : http://www.joomla.org/content/view/499/66/
- Référence CVE CVE-2005-3771 https://www.cve.org/CVERecord?id=CVE-2005-3771
- Référence CVE CVE-2005-3772 https://www.cve.org/CVERecord?id=CVE-2005-3772
- Référence CVE CVE-2005-3773 https://www.cve.org/CVERecord?id=CVE-2005-3773