L'éditeur du système de gestion de contenu (CMS) Joomla! a diffusé, le 26 mai 2026, une série de bulletins de sécurité signalant de multiples vulnérabilités affectant ses logiciels. L'Agence nationale de la sécurité des systèmes d'information (ANSSI), via son CERT-FR, a émis un avis le 27 mai 2026, invitant les administrateurs à appliquer sans délai les correctifs.

Dix vulnérabilités distinctes ont été répertoriées, couvrant les versions 6.x antérieures à 6.1.1 et les versions antérieures à 5.4.6. Les failles identifiées présentent des degrés de criticité variables, mais plusieurs d'entre elles sont considérées comme critiques par l'éditeur.

Risques multiples pour la sécurité

Selon le CERT-FR, les vulnérabilités découvertes permettent à un attaquant de provoquer une atteinte à la confidentialité des données, un contournement de la politique de sécurité, une injection de code indirecte à distance (XSS), une injection de requêtes illégitimes par rebond (CSRF) et une élévation de privilèges.

Plusieurs des correctifs visent à colmater des brèches permettant un contournement de l'authentification multifacteur (MFA), comme l'indiquent les bulletins 1043-20260511 et 1044-20260512. D'autres failles, référencées sous les bulletins 1045-20260513 et 1046-20260514, concernent des élévations de privilèges possibles via la gestion des utilisateurs (com_users) et ses points d'accès aux services web.

Des problèmes de contrôle d'accès incorrects ont également été corrigés dans les plugins de données d'exemple (bulletin 1047-20260515) et dans le composant de planification (com_scheduler, bulletin 1048-20260516). Par ailleurs, une faille liée à la construction incorrecte de clés de cache pour les objets de filtrage d'entrée (bulletin 1049-20260517) a été corrigée.

Atténuation du chiffrement et filtrage insuffisant

Le bulletin 1050-20260518 traite d'une vulnérabilité permettant un affaiblissement du chiffrement des liens de réinitialisation de mot de passe et de nom d'utilisateur. Enfin, les bulletins 1051-20260519 et 1052-20260520 corrigent des insuffisances dans le filtrage du contenu au sein du code de filtrage des attributs (checkAttribute et cleanAttributes), dans le framework Joomla!.

Correctifs disponibles

L'éditeur Joomla! a mis à disposition des correctifs pour l'ensemble de ces vulnérabilités. Le CERT-FR recommande aux utilisateurs de se référer aux bulletins de sécurité de l'éditeur pour obtenir les mises à jour et de les appliquer dès que possible. Les administrateurs de sites utilisant Joomla! sont invités à mettre à jour leurs installations vers les versions 5.4.6 ou 6.1.1, ou versions ultérieures, afin de se prémunir contre ces risques.