S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 06 novembre 2009
N^o CERTA-2009-AVI-480

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Vulnérabilités dans Joomla!

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-480

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2009-AVI-480
Titre	Vulnérabilités dans Joomla!
Date de la première version	06 novembre 2009
Date de la dernière version	-
Source(s)	Bulletins de sécurité Joomla! du 03 novembre 2009
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Contournement de la politique de sécurité.

Joomla! versions 1.5.14 et antérieures.

Deux vulnérabilités dans Joomla! permettent d'obtenir les versions des extensions installées et de modifier les articles publiés.

Deux vulnérabilités ont été découvertes dans Joomla! :

il est possible de lire le contenu d'un fichier XML d'une extension, ce qui divulgue sa version installée ;
un utilisateur connecté avec des droits Author peut remplacer les articles d'un autre utilisateur.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Bulletins de sécurité Joomla! du 03 novembre 2009 :

http://developer.joomla.org/security/news/305-20091103-core-front-end-editor-issue.html

http://developer.joomla.org/security/news/306-20091103-core-xml-file-read-issue.html

CERTA
2010-01-20