Joomla - CVE-2026-23898
Date de publication :
Il s'agit d'une vulnérabilité dans le composant com_joomlaupdate, responsable du mécanisme de mise à jour automatique du CMS.
Joomla! CMS est un système de gestion de contenu open source écrit en PHP. Il est utilisé pour la création et l'administration de sites web et de portails en ligne, et constitue le deuxième CMS le plus répandu au monde derrière WordPress.
L'absence de validation des données en entrée permet à un attaquant authentifié avec des droits élevés de contrôler le nom ou le chemin du fichier traité par ce mécanisme. Il peut ainsi provoquer la suppression arbitraire de fichiers sur le serveur, y compris des fichiers critiques au fonctionnement du CMS ou du système sous-jacent.
Elle permet une atteinte à la disponibilité et à l'intégrité du système, pouvant conduire à une interruption de service ou à une compromission plus profonde par suppression de mécanismes de sécurité.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
• Atteinte à l'intégrité des données
• Déni de service (à distance)
Exploitation
CWE-73 : External Control of File Name or Path
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur à privilège
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Joomla! CMS versions 4.0.0 jusqu'à 5.4.3
• Joomla! CMS versions 6.0.0 jusqu'à 6.0.3
Contournement provisoire
Solutions ou recommandations
• Joomla! CMS versions 6.0.4 et supérieures