Joomla reste malgré ses faiblesses, l’un des CMS le plus populaire, à côté de références du secteur tels que WordPress ou Drupal. Joomla 3.4.5 est un patch d’urgence patchant trois vulnérabilités critiques dans le logiciel.
Lorsqu’une vulnérabilité est découverte sur Joolma, il s’agit à coup sûr d’une faille de sécurité critique mettant en péril des centaines de milliers de sites Web (rappelons-nous de la vulnérabilité permettant la réinitialisation du mot de passe administrateur qui avait permis il y a quelques années au pirates de prendre le contrôle de l’immense majorité des sites sous Joomla et de backdoorer les serveurs…). D’autres failles critiques ont depuis régulièrement vu le jour (voir ici et ici par exemple). Et cette dernière alerte ne fait pas exception à la règle ! Les versions concernées par cette alerte de sécurité critique sont comprises entre Joomla 3.2 et Joomla 3.4.4, et comprennent des vulnérabilités critiques de type injection SQL (SQLi) qui pourraient permettre à des pirates de s’octroyer des privilèges d’administrateur sur la plupart des sites Internet sous Joomla.
Le patch est une mise à niveau vers la version 3.4.5 de Joomla et contient tous les correctifs de sécurité.
L’une des vulnérabilités a été découverte par le chercheur Asaf Orpani de chez Trustwave SpiderLabs et Netanel Rubin de PerimeterX. Cette dernière pourrait être exploitée afin d’attaquer un site web via des injections SQL afin d’en prendre le contrôle total. Au passage, notons que ce type de vulnérabilité est l’une des plus anciennes, la plus puissante et la plus dangereuse qui peut affecter un site Web ou une application Web qui utilise une base de données de type SQL.
Les SQLi récemment découvertes au sein de Joomla par Orpani sont les suivantes :
- CVE-2015-7297
- CVE-2015-7857
- CVE-2015-7858
CVE-2015-7857 permet à un attaquant distant non autorisé d’obtenir les privilèges administrateur en détournant la session admin. Une fois exploitée, l’attaquant peut prendre le contrôle complet du site et exécuter des attaques supplémentaires comme l’injection d’un puissant backdoor sur le serveur vie le système d’upload de médias.
100% des sites sous Joomla depuis 2013 vulnérables !
Le pire dans cette alerte ? Comme les fois précédentes, il s’agit d’une vulnérabilité présente directement dans le Core de Joomla et non dans une quelconque extension ! Par conséquent, tous les sites qui utilisent des versions de Joomla après 3.2 (sorti en novembre 2013) sont vulnérables.
Les chercheurs ont également découvert les vulnérabilités connexes, CVE-2015-7858 et CVE-2015-7297, dans le cadre de leur recherche. Le script responsable de la SQLi était présent dans /administrator/components/com_contenthistory/modèles/history.php.
Orpani explique ce qu’un pirate serait capable de faire en exploitant cette faille, comme par exemple détourner et obtenir la clé de session de l’administrateur puis accès complet au dossier / administrator, aux privilèges administrateur et au panneau de contrôle du site. A partir de là, les possibilité malveillantes et d’infections sont sans limite…
Mettez très vite à jour vos sites !
Les commentaires sont fermés.