Risques
- Atteinte à l’intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
Systèmes affectés
[Mise à jour du 31 mars 2022]
- Joomla! CMS versions 3.x.x antérieures à 3.10.8
- Joomla! CMS versions 4.x.x antérieures à 4.1.2
Les versions 3.10.8 et 4.1.2 de Joomla contiennent tous les correctifs de sécurité des versions 3.10.7 et 4.1.1 sauf le correctif 20220303 qui a été supprimé à la suite d’un problème d’implémentation.
Si les versions 4.1.1 ou 3.10.7 ont été installées, l’éditeur suggère d’appliquer la procédure suivante :
https://docs.joomla.org/J3.x:After_going_to_4.1,1_or_3.10.7_some_users_can%27t_login_anymore
Résumé
De multiples vulnérabilités ont été découvertes dans Joomla. Certaines
d’entre elles permettent à un attaquant de provoquer une exécution de
code arbitraire à distance, un déni de service à distance et un
contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des
correctifs (cf. section Documentation).