| 30-03-2022 | CVE-2022-23799 | (V550/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! 4.0.0 à 4.1.0. Dans des circonstances spécifiques, JInput pollue les sacs d'entrée spécifiques à la méthode avec des données $_REQUEST. (CVSS:6.8) (Dernière mise à jour :2022-04-05) | lien |
| 30-03-2022 | CVE-2022-23797 | (V549/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! 3.0.0 à 3.10.6 et 4.0.0 à 4.1.0. Un filtrage inadéquat des identifiants sélectionnés sur une requête peut entraîner une éventuelle injection SQL. (CVSS : 7.5) (Dernière mise à jour : 2022-04-05) | lien |
| 30-03-2022 | CVE-2022-23795 | (V548/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! 2.5.0 à 3.10.6 et 4.0.0 à 4.1.0. Une ligne d'utilisateur n'était pas liée à un mécanisme d'authentification spécifique qui pourrait, dans des circonstances très particulières, permettre une prise de contrôle de compte. (CVSS:6.8) (Dernière mise à jour :2022-04-05) | lien |
| 24-08-2021 | CVE-2021-26040 | (V547/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! 4.0.0. Le gestionnaire de médias ne vérifie pas correctement les autorisations de l'utilisateur avant d'exécuter une commande de suppression de fichier. (CVSS:6.4) (Dernière mise à jour :2021-08-31) | lien |
| 04-03-2021 | CVE-2021-23128 | (V546/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! 3.2.0 à 3.9.24. L'implémentation randval de base livrée mais inutilisée dans FOF (FOFEncryptRandval) utilisait une implémentation potentiellement non sécurisée. Cela a maintenant été remplacé par un appel à 'random_bytes()' et son backport qui est livré dans random_compat. (CVSS:6.4) (Dernière mise à jour :2021-03-05) | lien |
| 04-03-2021 | CVE-2021-23127 | (V545/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! 3.2.0 à 3.9.24. Utilisation d'une longueur insuffisante pour le secret 2FA selon RFC 4226 de 10 octets contre 20 octets. (CVSS:6.4) (Dernière mise à jour :2021-03-05) | lien |
| 28-12-2020 | CVE-2020-35615 | (V544/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! 2.5.0 à 3.9.22. Une vérification de jeton manquante dans la fonctionnalité d'exportation de courrier électronique de com_privacy provoque une vulnérabilité CSRF. (CVSS : 6.8) (Dernière mise à jour : 2020-12-30) | lien |
| 28-12-2020 | CVE-2020-35613 | (V543/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! 3.0.0 à 3.9.22. Une configuration incorrecte de la liste noire des filtres entraîne une vulnérabilité d'injection SQL dans la liste des utilisateurs principaux. (CVSS : 7.5) (Dernière mise à jour : 2020-12-30) | lien |
| 15-07-2020 | CVE-2020-15700 | (V542/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! à 3.9.19. Une vérification de jeton manquante dans le point de terminaison ajax_install de com_installer provoque une vulnérabilité CSRF. (CVSS:6.8) (Dernière mise à jour :2020-07-15) | lien |
| 15-07-2020 | CVE-2020-15695 | (V541/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! à 3.9.19. Une vérification de jeton manquante dans la section de demande de suppression de com_privacy provoque une vulnérabilité CSRF. (CVSS:6.8) (Dernière mise à jour :2020-07-15) | lien |
| 02-06-2020 | CVE-2020-13760 | (V540/14-10-2022/UCYBRS) | Dans Joomla! avant 3.9.19, les vérifications de jetons manquantes dans com_postinstall conduisent à CSRF. (CVSS:6.8) (Dernière mise à jour :2020-10-19) | lien |
| 16-03-2020 | CVE-2020-10243 | (V539/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! avant le 3.9.16. L'absence de transtypage de type d'une variable dans une instruction SQL entraîne une vulnérabilité d'injection SQL dans le type de menu frontend Articles en vedette. (CVSS : 7.5) (Dernière mise à jour : 2020-03-18) | lien |
| 16-03-2020 | CVE-2020-10241 | (V538/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! avant le 3.9.16. Les vérifications de jeton manquantes dans les actions d'image de com_templates conduisent à CSRF. (CVSS:6.8) (Dernière mise à jour :2020-03-18) | lien |
| 16-03-2020 | CVE-2020-10239 | (V537/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! avant le 3.9.16. Un contrôle d'accès incorrect dans le type de champ SQL de com_fields autorise l'accès aux utilisateurs non superadmin. (CVSS : 6.5) (Dernière mise à jour : 2021-07-21) | lien |
| 28-01-2020 | CVE-2020-8420 | (V536/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! avant le 3.9.15. Une vérification de jeton CSRF manquante dans le compilateur LESS de com_templates provoque une vulnérabilité CSRF. (CVSS:6.8) (Dernière mise à jour :2020-02-07) | lien |
| 28-01-2020 | CVE-2020-8419 | (V535/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! avant le 3.9.15. Les vérifications de jeton manquantes dans les actions par lots de divers composants entraînent des vulnérabilités CSRF. (CVSS:6.8) (Dernière mise à jour :2020-02-06) | lien |
| 18-12-2019 | CVE-2019-19846 | (V534/14-10-2022/UCYBRS) | Dans Joomla! avant 3.9.14, le manque de validation des paramètres de configuration utilisés dans les requêtes SQL provoquait divers vecteurs d'injection SQL. (CVSS:7.5) (Dernière mise à jour :2019-12-18) | lien |
| 06-11-2019 | CVE-2019-18650 | (V533/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! avant le 3.9.13. Une vérification de jeton manquante dans com_template provoque une vulnérabilité CSRF. (CVSS:6.8) (Dernière mise à jour :2019-11-06) | lien |
| 05-08-2019 | CVE-2019-14654 | (V532/14-10-2022/UCYBRS) | Dans Joomla! 3.9.7 et 3.9.8, un filtrage inadéquat permet aux utilisateurs autorisés à créer des champs personnalisés de manipuler les options de filtrage et d'injecter une option non validée. En d'autres termes, l'attribut filter dans les champs de sous-formulaire permet l'exécution de code à distance. Ceci est corrigé dans 3.9.9. (CVSS : 6.5) (Dernière mise à jour : 2020-08-24) | lien |
| 11-06-2019 | CVE-2019-12765 | (V531/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! avant 3.9.7. L'export CSV de com_actionslogs est vulnérable à l'injection CSV. (CVSS : 7.5) (Dernière mise à jour : 2020-08-24) | lien |
| 09-05-2019 | CVE-2019-11831 | (V530/14-10-2022/UCYBRS) | Le package PharStreamWrapper (alias phar-stream-wrapper) 2.x avant 2.1.1 et 3.x avant 3.1.1 pour TYPO3 n'empêche pas la traversée de répertoire, ce qui permet aux attaquants de contourner un mécanisme de protection contre la désérialisation, comme le démontre un phar : ///chemin/bad.phar/../good.phar URL. (CVSS : 7.5) (Dernière mise à jour : 2021-10-01) | lien |
| 10-04-2019 | CVE-2019-10945 | (V529/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! avant 3.9.5. Le composant Media Manager ne nettoie pas correctement le paramètre de dossier, ce qui permet aux attaquants d'agir en dehors du répertoire racine du gestionnaire de médias. (CVSS : 7.5) (Dernière mise à jour : 2019-04-17) | lien |
| 12-02-2019 | CVE-2019-7743 | (V528/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! avant 3.9.3. Le wrapper de flux phar:// peut être utilisé pour les attaques par injection d'objection car il n'y a pas de mécanisme de protection (tel que le wrapper de flux TYPO3 PHAR) pour empêcher l'utilisation du gestionnaire phar:// pour les fichiers non .phar. (CVSS : 7.5) (Dernière mise à jour : 2020-08-24) | lien |
| 09-10-2018 | CVE-2018-17858 | (V527/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! avant le 3.8.13. Les actions com_installer n'ont pas un renforcement CSRF suffisant dans le backend. (CVSS : 6.8) (Dernière mise à jour : 2018-11-26) | lien |
| 09-10-2018 | CVE-2018-17856 | (V526/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! avant le 3.8.13. com_joomlaupdate permet l'exécution de code arbitraire. La configuration ACL par défaut a permis aux utilisateurs de niveau administrateur d'accéder à com_joomlaupdate et de déclencher l'exécution du code. (CVSS : 6.5) (Dernière mise à jour : 2020-08-24) | lien |
| 09-10-2018 | CVE-2018-17855 | (V525/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! avant le 3.8.13. Si un attaquant obtient l'accès au compte de messagerie d'un utilisateur qui peut approuver les vérifications de l'administrateur dans le processus d'inscription, il peut s'activer. (CVSS : 6.5) (Dernière mise à jour : 2020-08-24) | lien |
| 29-08-2018 | CVE-2018-15882 | (V524/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! avant le 3.8.12. Des vérifications inadéquates dans la classe InputFilter pourraient permettre à des fichiers phar spécialement préparés de passer le filtre de téléchargement. (CVSS : 7.5) (Dernière mise à jour : 2018-11-05) | lien |
| 26-06-2018 | CVE-2018-12712 | (V523/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! 2.5.0 à 3.8.8 avant 3.8.9. Le code de chargement automatique vérifie que les noms de classe sont valides, en utilisant la fonction "class_exists" en PHP. En PHP 5.3, cette fonction valide les noms non valides comme étant valides, ce qui peut entraîner une inclusion de fichier local. (CVSS : 6.5) (Dernière mise à jour : 2018-08-20) | lien |
| 22-05-2018 | CVE-2018-11323 | (V522/14-10-2022/UCYBRS) | Un problème a été découvert dans Joomla! Noyau avant 3.8.8. Des vérifications inadéquates permettaient aux utilisateurs de modifier les niveaux d'accès des groupes d'utilisateurs avec des autorisations plus élevées. (CVSS : 6.5) (Dernière mise à jour : 2019-10-03) | lien |
