L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Joomla! Core

vulnérabilité informatique CVE-2017-14595 CVE-2017-14596

Joomla Core : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Joomla Core.
Produits concernés : Joomla! Core, Synology DSM, Synology DS***, Synology RS***.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 19/09/2017.
Références : CERTFR-2017-AVI-315, CVE-2017-14595, CVE-2017-14596, Synology-SA-17:55, VIGILANCE-VUL-23875.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Joomla Core.

Un attaquant peut contourner les mesures de sécurité via Intro Text, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-14595]

Un attaquant peut contourner les mesures de sécurité via Username/Password, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-14596]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2017-11364 CVE-2017-11612

Joomla Core : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Joomla Core.
Produits concernés : Joomla! Core.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 26/07/2017.
Références : CERTFR-2017-AVI-235, CVE-2017-11364, CVE-2017-11612, VIGILANCE-VUL-23366.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Joomla Core.

Un attaquant peut contourner les mesures de sécurité via Installer, afin d'élever ses privilèges. [grav:2/4; CVE-2017-11364]

Un attaquant peut provoquer un Cross Site Scripting via HTML Tags, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2017-11612]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2017-7985 CVE-2017-9933 CVE-2017-9934

Joomla : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Joomla.
Produits concernés : Joomla! Core.
Gravité : 2/4.
Conséquences : accès/droits client, lecture de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 04/07/2017.
Références : CERTFR-2017-AVI-201, CVE-2017-7985, CVE-2017-9933, CVE-2017-9934, VIGILANCE-VUL-23130.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Joomla.

Un attaquant peut contourner les mesures de sécurité via Form Contents, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-9933]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2017-9934]

Un attaquant peut provoquer un Cross Site Scripting via Multibyte Characters, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2017-7985]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-8917

Joomla Core : injection SQL

Synthèse de la vulnérabilité

Un attaquant peut provoquer une injection SQL de Joomla Core, afin de lire ou modifier des données.
Produits concernés : Joomla! Core.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données, effacement de données.
Provenance : client internet.
Date création : 18/05/2017.
Date révision : 22/05/2017.
Références : CERTFR-2017-AVI-159, CVE-2017-8917, VIGILANCE-VUL-22757.

Description de la vulnérabilité

Le produit Joomla Core utilise une base de données.

Cependant, les données provenant de l'utilisateur sont directement insérées dans une requête SQL.

Un attaquant peut donc provoquer une injection SQL de Joomla Core, afin de lire ou modifier des données.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2017-7983 CVE-2017-7984 CVE-2017-7985

Joomla Core : huit vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Joomla Core.
Produits concernés : Joomla! Core.
Gravité : 2/4.
Conséquences : accès/droits client, lecture de données, création/modification de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 8.
Date création : 26/04/2017.
Références : CERTFR-2017-AVI-201, CVE-2017-7983, CVE-2017-7984, CVE-2017-7985, CVE-2017-7986, CVE-2017-7987, CVE-2017-7988, CVE-2017-7989, CVE-2017-8057, VIGILANCE-VUL-22562.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Joomla Core.

Un attaquant peut contourner les mesures de sécurité via PHPMailer Version, afin d'obtenir des informations sensibles. [grav:1/4; CVE-2017-7983]

Un attaquant peut provoquer un Cross Site Scripting via Template Manager Component, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2017-7984]

Un attaquant peut provoquer un Cross Site Scripting via Multibyte Characters, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2017-7985]

Un attaquant peut provoquer un Cross Site Scripting via HTML Attributes, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2017-7986]

Un attaquant peut provoquer un Cross Site Scripting via Template Manager, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2017-7987]

Un attaquant peut contourner les mesures de sécurité via ACL Violations, afin d'élever ses privilèges. [grav:2/4; CVE-2017-7988]

Un attaquant peut contourner les mesures de sécurité via ACL Violations, afin d'élever ses privilèges. [grav:1/4; CVE-2017-7989]

Un attaquant peut contourner les mesures de sécurité via Full Path, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2017-8057]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2016-10033

PHPMailer : exécution de code

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de PHPMailer, afin d'exécuter du code.
Produits concernés : Debian, Drupal Modules ~ non exhaustif, BIG-IP Hardware, TMOS, Fedora, Joomla! Core, Joomla Extensions ~ non exhaustif, Synology DSM, Synology DS***, Synology RS***, Unix (plateforme) ~ non exhaustif, WordPress Core.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 29/12/2016.
Date révision : 27/01/2017.
Références : CVE-2016-10033, DLA-770-1, DLA-770-2, DRUPAL-SA-CONTRIB-2017-005, DRUPAL-SA-PSA-2016-004, DSA-3750-1, DSA-3750-2, FEDORA-2016-6941d25875, FEDORA-2017-c3dc97e1e1, K74977440, VIGILANCE-VUL-21463.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de PHPMailer, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2016-10045

PHPMailer : exécution de code

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de PHPMailer, afin d'exécuter du code.
Produits concernés : BIG-IP Hardware, TMOS, Fedora, Joomla! Core, Joomla Extensions ~ non exhaustif, Synology DSM, Synology DS***, Synology RS***, TYPO3 Extensions ~ non exhaustif, Unix (plateforme) ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 29/12/2016.
Date révision : 04/01/2017.
Références : CVE-2016-10045, FEDORA-2016-6941d25875, FEDORA-2017-c3dc97e1e1, K73926196, TYPO3-EXT-SA-2017-004, TYPO3-EXT-SA-2017-005, TYPO3-EXT-SA-2017-006, VIGILANCE-VUL-21482.

Description de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité de PHPMailer, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2016-9837 CVE-2016-9838

Joomla Core : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Joomla Core.
Produits concernés : Joomla! Core.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 14/12/2016.
Références : CERTFR-2016-AVI-419, CVE-2016-9837, CVE-2016-9838, VIGILANCE-VUL-21382.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Joomla Core.

Un attaquant peut contourner les mesures de sécurité via Session Data, afin d'élever ses privilèges. [grav:3/4; CVE-2016-9838]

Un attaquant peut contourner les mesures de sécurité via Beez3 com_content, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-9837]

Un attaquant peut contourner les mesures de sécurité, afin d'élever ses privilèges. [grav:1/4]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2016-9836

Joomla Core : exécution de code via JFilterInput-isFileSafe

Synthèse de la vulnérabilité

Un attaquant peut contourner les filtres JFilterInput::isFileSafe() et JHelperMedia::canUpload() de Joomla Core, afin d'exécuter du code.
Produits concernés : Joomla! Core.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : document.
Date création : 06/12/2016.
Références : CERTFR-2016-AVI-419, CVE-2016-9836, VIGILANCE-VUL-21272.

Description de la vulnérabilité

Un attaquant peut contourner les filtres JFilterInput::isFileSafe() et JHelperMedia::canUpload() de Joomla Core, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2016-8869 CVE-2016-8870 CVE-2016-9081

Joomla Core : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Joomla Core.
Produits concernés : Joomla! Core, Synology DSM.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 25/10/2016.
Date révision : 27/10/2016.
Références : CERTFR-2016-AVI-360, CVE-2016-8869, CVE-2016-8870, CVE-2016-9081, VIGILANCE-VUL-20947.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Joomla Core.

Un attaquant peut créer un compte, même si l'enregistrement a été désactivé. [grav:3/4; CVE-2016-8870]

Un attaquant peut s'enregistrer avec des privilèges élevés. [grav:3/4; CVE-2016-8869]

Un attaquant peut contourner les mesures de sécurité, afin d'élever ses privilèges. [grav:2/4; CVE-2016-9081]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Joomla! Core :