Multiples vulnérabilités sur Joomla CMS
Date de publication :
Plusieurs vulnérabilités ont été découvertes sur Joomla CMS, un système de gestion de contenu permettant de créer des sites internet. Il est libre, open source et gratuit. Les vulnérabilités dévoilées peuvent permettre à un attaquant d’effectuer des attaques de type XSS (cross-site scripting) ou CSRF (cross-site request forgery).
CVE-2020-8419 [Score CVSS v3 : 8.8] : L’absence de vérification par token dans des actions par lots de plusieurs composants peuvent permettre une attaque de type CSRF.
CVE-2020-8420 [Score CVSS v3 : 8.8] : L’absence d’une vérification par token dans le compilateur LESS de com_templates peut permettre une attaque de type CSRF.
CVE-2020-8421 [Score CVSS v3 : 6.1] : Un échappement incorrect sur des noms d’utilisateurs dans com_actionlogs peut permettre une attaque de type XSS.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code à distance
- Elévation de privilèges non autorisée
Criticité
- Score CVSS v3 : 8.8 au maximum
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est actuellement disponible
Composants vulnérables
- Joomla CMS versions 3.9.0 – 3.9.14
CVE
- CVE-2020-8419
- CVE-2020-8420
- CVE-2020-8421
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour Joomla vers la version 3.9.15
Solution de contournement
- Aucune solution de contournement n’est disponible