Joomla - erreur SQL

Joomla – Vulnérabilités critiques à base d’injection SQL corrigées.

Trois vulnérabilités critiques ont été découvertes dans le CMS Joomla pour les versions allant de 3.2 à 3.4.4. Les clients d’HPJ ont été sécurisés rapidement.

Ces vulnérabilités permettent la réalisation d’injection SQL à partir de l’un des composants coeur du système. Il faut donc les considérer comme très graves et critiques pour l’intégrité des sites et serveurs où sont hébergés ces derniers.

Toutefois, l’exploitation de ses vulnérabilité ne peut se faire que pendant le temps où un administrateur est connecté à l’administration du site web. Dans cette situation l’attaquant peut s’octroyer des privilèges dit super-administrateur et par la suite prendre le contrôle complet du site web afin de permettre, par exemple, la mise en place de botnet.

Son score CVSS est de 7.5. Ce score est utilisé pour l’industrie de la sécurité pour mesurer la criticité d’une vulnérabilité sur un échelle de 1 à 10.

Un patch de sécurité a été mis en place par les équipes du CMS Joomla afin de corriger ces trois failles.

Les chercheurs Asaf Orpani de chez Trustwave SpiderLabs et Netanel Rubin de PerimeterX ont découvert une de ses failles. Des CVE, ou “Common Vulnerabilities and Exposures” ont été déclarées, il s’agit des CVEs suivantes :

  • CVE-2015-7297,
  • CVE-2015-7857,
  • CVE-2015-7858.

L’équipe de TrustWave a publié un billet expliquant en détail les tenants et aboutissant de la CVE-2015-7857 et est accessible ici

Afin de vérifier si la vulnérabilité existe sur votre site, une solution simple existe en allant sur l’URL suivante à partir de votre site web cliquer ici

Si cette page affiche une page d’erreur 500 rouge avec une requête SQL, c’est que le site est vulnérable.

Erreur Joomla

Les équipes d’HPJ ont pris toutes les mesures nécessaires afin de sécuriser les différents sites webs pouvant être vulnérables en appliquant les patchs de sécurités proposés par l’équipe de Joomla.

Ces mises à jour de sécurité font partie intégrante des services incluent avec le forfait d’hébergement de tout nos clients.

N’hésitez pas à nous contacter si vous avez des questions à ce propos.