Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
- Injection SQL (SQLi)
- Élévation de privilèges
Systèmes affectés
- Joomla! versions 6.x antérieures à 6.1.1
- Joomla! versions antérieures à 5.4.6
Résumé
De multiples vulnérabilités ont été découvertes dans Joomla!. Certaines d'entre elles permettent à un attaquant de provoquer une élévation de privilèges, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Joomla! 1033-20260501 du 26 mai 2026 https://developer.joomla.org/security-centre/1033-20260501-core-xss-in-feed-modules.html
- Bulletin de sécurité Joomla! 1034-20260502 du 26 mai 2026 https://developer.joomla.org/security-centre/1034-20260502-core-xss-in-com-associations.html
- Bulletin de sécurité Joomla! 1035-20260503 du 26 mai 2026 https://developer.joomla.org/security-centre/1035-20260503-core-xss-in-com-contenthistory.html
- Bulletin de sécurité Joomla! 1036-20260504 du 26 mai 2026 https://developer.joomla.org/security-centre/1036-20260504-core-xss-in-readmore-links.html
- Bulletin de sécurité Joomla! 1037-20260505 du 26 mai 2026 https://developer.joomla.org/security-centre/1037-20260505-core-csrf-in-user-activation-endpoint.html
- Bulletin de sécurité Joomla! 1038-20260506 du 26 mai 2026 https://developer.joomla.org/security-centre/1038-20260506-core-authenticated-blind-sqli-in-com-finder.html
- Bulletin de sécurité Joomla! 1039-20260507 du 26 mai 2026 https://developer.joomla.org/security-centre/1039-20260507-core-authenticated-blind-sqli-in-com-tags.html
- Bulletin de sécurité Joomla! 1040-20260508 du 26 mai 2026 https://developer.joomla.org/security-centre/1040-20260508-core-improper-access-check-in-com-config-webservice-endpoints.html
- Bulletin de sécurité Joomla! 1041-20260509 du 26 mai 2026 https://developer.joomla.org/security-centre/1041-20260509-core-lfi-in-htmlview-layout-parameter.html
- Bulletin de sécurité Joomla! 1042-20260510 du 26 mai 2026 https://developer.joomla.org/security-centre/1042-20260510-core-path-traversal-in-com-media-webservice-endpoint.html
- Bulletin de sécurité Joomla! 1043-20260511 du 26 mai 2026 https://developer.joomla.org/security-centre/1043-20260511-core-mfa-authentication-bypass.html
- Bulletin de sécurité Joomla! 1044-20260512 du 26 mai 2026 https://developer.joomla.org/security-centre/1044-20260512-core-mfa-authentication-bypass.html
- Bulletin de sécurité Joomla! 1045-20260513 du 26 mai 2026 https://developer.joomla.org/security-centre/1045-20260513-core-privilege-escalation-through-com-users-batch-task.html
- Bulletin de sécurité Joomla! 1046-20260514 du 26 mai 2026 https://developer.joomla.org/security-centre/1046-20260514-core-privilege-escalation-through-com-users-webservice-endpoints.html
- Bulletin de sécurité Joomla! 1047-20260515 du 26 mai 2026 https://developer.joomla.org/security-centre/1047-20260515-core-incorrect-access-control-in-sample-data-plugins.html
- Bulletin de sécurité Joomla! 1048-20260516 du 26 mai 2026 https://developer.joomla.org/security-centre/1048-20260516-core-incorrect-access-control-in-com-scheduler.html
- Bulletin de sécurité Joomla! 1049-20260517 du 26 mai 2026 https://developer.joomla.org/security-centre/1049-20260517-core-incorrect-cache-key-construction-for-inputfilter-objects.html
- Bulletin de sécurité Joomla! 1050-20260518 du 26 mai 2026 https://developer.joomla.org/security-centre/1050-20260518-core-transport-encryption-downgrade-for-password-and-username-reset-links.html
- Bulletin de sécurité Joomla! 1051-20260519 du 26 mai 2026 https://developer.joomla.org/security-centre/1051-20260519-framework-inadequate-content-filtering-within-the-checkattribute-filter-code.html
- Bulletin de sécurité Joomla! 1052-20260520 du 26 mai 2026 https://developer.joomla.org/security-centre/1052-20260520-framework-inadequate-content-filtering-within-the-cleanattributes-filter-code.html
- Référence CVE CVE-2026-25900 https://www.cve.org/CVERecord?id=CVE-2026-25900
- Référence CVE CVE-2026-25901 https://www.cve.org/CVERecord?id=CVE-2026-25901
- Référence CVE CVE-2026-30894 https://www.cve.org/CVERecord?id=CVE-2026-30894
- Référence CVE CVE-2026-30895 https://www.cve.org/CVERecord?id=CVE-2026-30895
- Référence CVE CVE-2026-35220 https://www.cve.org/CVERecord?id=CVE-2026-35220
- Référence CVE CVE-2026-35221 https://www.cve.org/CVERecord?id=CVE-2026-35221
- Référence CVE CVE-2026-352212 https://www.cve.org/CVERecord?id=CVE-2026-352212
- Référence CVE CVE-2026-35222 https://www.cve.org/CVERecord?id=CVE-2026-35222
- Référence CVE CVE-2026-35223 https://www.cve.org/CVERecord?id=CVE-2026-35223
- Référence CVE CVE-2026-40383 https://www.cve.org/CVERecord?id=CVE-2026-40383
- Référence CVE CVE-2026-40384 https://www.cve.org/CVERecord?id=CVE-2026-40384
- Référence CVE CVE-2026-48896 https://www.cve.org/CVERecord?id=CVE-2026-48896
- Référence CVE CVE-2026-48897 https://www.cve.org/CVERecord?id=CVE-2026-48897
- Référence CVE CVE-2026-48898 https://www.cve.org/CVERecord?id=CVE-2026-48898
- Référence CVE CVE-2026-48899 https://www.cve.org/CVERecord?id=CVE-2026-48899
- Référence CVE CVE-2026-48900 https://www.cve.org/CVERecord?id=CVE-2026-48900
- Référence CVE CVE-2026-48901 https://www.cve.org/CVERecord?id=CVE-2026-48901
- Référence CVE CVE-2026-48902 https://www.cve.org/CVERecord?id=CVE-2026-48902
- Référence CVE CVE-2026-48903 https://www.cve.org/CVERecord?id=CVE-2026-48903
- Référence CVE CVE-2026-48904 https://www.cve.org/CVERecord?id=CVE-2026-48904
- Référence CVE CVE-2026-48905 https://www.cve.org/CVERecord?id=CVE-2026-48905
