Publication d’une nouvelle mise à jour de Joomla! (3.8.2) corrigeant trois vulnérabilités et plus de 90 bugs

Joomla! vient de publier la version 3.8.2 de son système de gestion de contenu (CMS) corrigeant trois vulnérabilités permettant d’obtenir des informations critiques ainsi que plus de 90 bugs.

Les vulnérabilités suivantes ont été corrigées par la mise à jour :

  • Une injection LDAP (Lightweight Directory Access Protocol) sur le contrôleur de connexion peut permettre à un attaquant ayant des privilèges restreints d’extraire tous les identifiants du serveur LDAP utilisés par l’installation Joomla!, y compris ceux de l’administrateur du Joomla! (CVE-2017-14596). Une fois les identifiants de l’administrateur obtenus, l’attaquant peut par la suite accéder au panneau d’administration du CMS et compromettre le serveur web en chargeant des extensions Joomla! malveillantes pour exécuter du code à distance sur la machine.
  • Une vulnérabilité de contournement de l’authentification double facteur (CVE-2017-16634) : Cette vulnérabilité peut permettre à un attaquant de contourner certaines restrictions de sécurité et de réaliser des actions non-autorisées pouvant mener à d’autres attaques.
  • Une vulnérabilité menant à une divulgation d’informations (CVE-2017-16633) : Cette vulnérabilité de criticité faible peut permettre à des utilisateurs non-autorisés d’obtenir un accès en lecture aux informations relatives aux champs personnalisés d’un site Joomla!.

Cette mise à jour a également corrigé plus de 90 bugs. La liste exhaustive de ces bugs ainsi que leurs descriptifs est disponible sur Github depuis le lien suivant : https://github.com/joomla/joomla-cms/milestone/27?closed=1