Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
nous veillons pour votre sécurité depuis 1999
 accueil présentation vulnérabilités documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
Vigil@nce décrit les vulnérabilités informatiques qui affectent vos systèmes, et propose les solutions pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité

alerte de vulnérabilité 8831

Joomla : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut exécuter du code JavaScript dans le contexte du site web, ou obtenir des informations internes sur Joomla.
Gravité : 2/4.
Date création : 01/07/2009.
Date révision : 03/07/2009.

Description de la vulnérabilité

Trois vulnérabilités ont été annoncées dans Joomla.

La variable HTTP_REFERER, qui contient l'entête Referer, n'est pas correctement filtrée. Un attaquant peut donc mener un Cross Site Scripting. [grav:2/4; 20090604, >]

La variable PHP_SELF, qui contient une partie de l'url demandée, n'est pas correctement filtrée. Un attaquant peut donc mener un Cross Site Scripting. [grav:2/4; 20090605, >]

Certains scripts PHP n'utilisent pas _JEXEC pour limiter leur accès. Un attaquant peut donc directement appeler ces scripts, pour provoquer une erreur qui affiche le chemin d'installation de Joomla. [grav:2/4; 20090606, >]

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : Joomla : multiples vulnérabilités.
Mots clés : 20090604 20090605 20090606 Cross HTTP_REFERER JavaScript Joomla PHP PHP_SELF Referer Scripting Site _JEXEC multiples vulnérabilités.
Références : 20090604, 20090605, 20090606, BID-35544, VIGILANCE-VUL-8831.

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Compléments

Vulnérabilité : HTTP_REFERER

La variable HTTP_REFERER, qui contient l'entête Referer, n'est pas correctement filtrée. Un attaquant peut donc mener un Cross Site Scripting.
Gravité : 2/4.
Références : 20090604.
Publications et annonces
Exemple de source : [20090604] - Core - Frontend XSS - HTTP_REFERER not properly filtered

Vulnérabilité : PHP_SELF

La variable PHP_SELF, qui contient une partie de l'url demandée, n'est pas correctement filtrée. Un attaquant peut donc mener un Cross Site Scripting.
Gravité : 2/4.
Références : 20090605.
Publications et annonces
Exemple de source : [20090605] - Core - Frontend XSS - PHP_SELF not properly filtered

Vulnérabilité : JEXEC

Certains scripts PHP n'utilisent pas _JEXEC pour limiter leur accès. Un attaquant peut donc directement appeler ces scripts, pour provoquer une erreur qui affiche le chemin d'installation de Joomla.
Gravité : 2/4.
Références : 20090606.
Publications et annonces
Exemple de source : [20090606] - Core - Missing JEXEC Check

Attaque

Outil d'attaque ou exploit 0day

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Bulletins de failles informatiques



















France Télécom Copyright 1999-2010 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version