Alerte de cybersécurité pour Joomla!
Avec 6% des parts du marché, Joomla! est le deuxième CMS le plus utilisé, derrière WordPress (59%). CERT-FR a émis, le 31 mai 2023, une alerte de cybersécurité sous le CVE CERTFR-2023-AVI-0423. Le correctif est déjà disponible avec la mise à jour 4.3.2.
Joomla! : un CMS robuste et flexible
Joomla! est un CMS, mais il se distingue de WordPress par sa flexibilité avancée, offrant une structure de contenu plus robuste et une gestion des utilisateurs plus poussée, idéale pour les sites complexes et les applications d'entreprise. Sa puissance se révèle particulièrement dans le domaine du commerce électronique, avec des fonctionnalités natives adaptées aux besoins spécifiques des sites de vente en ligne. Le système de modèle avancé de Joomla! permet une personnalisation approfondie de la conception sans altérer la structure de base, ce qui est apprécié par les développeurs expérimentés. Les extensions de Joomla! sont réputées pour leur puissance, offrant des fonctionnalités étendues et une variété d'options. Cependant, la courbe d'apprentissage de Joomla! peut être plus prononcée que celle de WordPress, qui reste souvent privilégié pour sa convivialité envers les débutants. C'est peut-être la raison de cette deuxième place au podium des CMS les plus utilisés, avec tout de même 4 millions de sites web équipés.
Vulnérabilité dans les versions 4.2.x à 4.3.x
Comment tout CMS, ll est crucial de maintenir Joomla! à jour, notamment pour bénéficier des correctifs de cybersécurité. Les versions de Joomla! concernées par la faille du CVE CERTFR-2023-AVI-0423 sont celles comprises entre la 4.2.x et la 4.3.x incluses. Ces versions souffrent de multiples vulnérabilités qui permettent à un attaquant de provoquer une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité.
En exploitant cette faille, un attaquant pourrait injecter du code malveillant dans votre site web. Cela pourrait entraîner le vol de données sensibles, la perte de contrôle de votre site web, ou même la propagation de logiciels malveillants à vos utilisateurs.
De plus, un attaquant pourrait contourner la politique de sécurité de votre site, voici quelques-unes des conséquences potentielles : - Accès non autorisé :
Il n’y a donc qu’un seul conseil : mettez à jour votre Joomla! à la version 4.3.2 pour protéger davantage votre site !
Mise à jour Joomla! déjà disponible
Le correctif de la vulnérabilité de Joomla! est déjà disponible avec la mise à jour 4.3.2. Il est donc recommandé à tous les utilisateurs de Joomla! de l’installer. Il est indispensable que les administrateurs réalisent une veille technologique sur les mises à jour, les failles des systèmes qu’ils utilisent et plus particulièrement sur la cybersécurité.
Les attaques de types injection XSS sont courantes, mais elles peuvent être bloquées grâce à des solutions WAF (Web Application Firewall) comme ProtectMy.site.