Vigil@nce - Joomla : quatre vulnérabilités
février 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de Joomla,
afin d’obtenir des informations ou de mener des Cross Site
Scripting.
Gravité : 2/4
Date création : 25/01/2012
PRODUITS CONCERNÉS
– Joomla !
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans Joomla.
Le fichier components/com_mailto/views/mailto/tmpl/default.php ne
filtre pas ses paramètres "mailto", "sender", "from" et "subject",
ce qui conduit à un Cross Site Scripting. [grav:2/4 ; 20120102,
20120104, CVE-2011-4934-REJECT, CVE-2011-4936-REJECT,
CVE-2012-0820, CVE-2012-0822]
Le fichier modules/mod_menu/tmpl/default_url.php ne filtre pas son
paramètre "flink", ce qui conduit à un Cross Site Scripting.
[grav:2/4 ; 20120102, 20120104, CVE-2011-4934-REJECT,
CVE-2011-4936-REJECT, CVE-2012-0820, CVE-2012-0822]
Plusieurs pages web indiquent la version de Joomla. [grav:1/4 ;
20120101, 20120103, CVE-2011-4933-REJECT, CVE-2011-4935-REJECT,
CVE-2012-0819, CVE-2012-0821]
Le fichier administrator/components/com_content/views/articles/tmpl/modal.php
ne vérifie pas la présence du jeton de session. Un attaquant peut
alors obtenir des informations. Les détails techniques ne sont pas
connus. [grav:2/4 ; 20120101, 20120103, CVE-2011-4933-REJECT,
CVE-2011-4935-REJECT, CVE-2012-0819, CVE-2012-0821]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Joomla-quatre-vulnerabilites-11317