Une mise à jour 3.6.4 du populaire système de gestion de contenu Joomla est à appliquer immédiatement afin de corriger deux vulnérabilité de sécurité critiques. Elles affectent les versions 3.4.4 à 3.6.3. Joomla est le CMS le plus utilisé après Wordpress.
Ces deux failles critiques existent dans les fonctionnalités Joomla Core. L'une peut être exploitée pour créer un compte sur un site motorisé par Joomla alors même que cette possibilité a été désactivée. L'autre permet une élévation de privilèges d'un compte.
On comprend alors que l'association de ces deux vulnérabilités exploitables à distance peut faire des dégâts pour plusieurs millions de sites. Accessoirement, ce qui est qualifié de bug au niveau du chiffrement pour l'authentification à deux facteurs a aussi été corrigé.
En amont de la publication de Joomla 3.6.4, il y avait eu une pré-annonce. Par le passé, une vulnérabilité critique affectant Joomla avait été très rapidement exploitée après la diffusion d'un patch. Autant éviter que cela ne se reproduise.
