Plateforme
joomla
Corrigé dans
4.0.1
6.0.1
La vulnérabilité CVE-2026-21631 est une faille de type Cross-Site Scripting (XSS) résultant d'un défaut d'échappement des données de sortie dans le composant des associations multilingues. Cette faille permet à un attaquant d'injecter des scripts malveillants dans les pages web, potentiellement compromettant la sécurité des utilisateurs. Elle affecte les versions 4.0.0 à 6.0.3. Une correction est disponible et recommandée.
Un attaquant exploitant cette vulnérabilité peut injecter du code JavaScript malveillant dans les pages web affichant les associations multilingues. Ce code peut être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites web malveillants, ou modifier le contenu de la page web. L'impact peut être significatif, car il permet à l'attaquant de compromettre les comptes des utilisateurs et de voler des informations sensibles. La surface d'attaque est étendue, car elle concerne toutes les pages utilisant le composant d'associations multilingues.
La vulnérabilité CVE-2026-21631 a été publiée le 1er avril 2026. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'une interaction utilisateur pour déclencher l'attaque. Il n'y a pas d'informations disponibles concernant l'exploitation active de cette vulnérabilité à ce jour. Aucune preuve de son inclusion dans KEV ou EPSS n'est disponible.
Websites utilizing Joomla's multilingual associations component, particularly those running vulnerable versions (4.0.0–6.0.3), are at risk. Shared hosting environments where multiple websites share the same Joomla installation are also at increased risk, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/plugins/multilingual_associations/*• generic web:
curl -I https://your-joomla-site.com/plugins/multilingual_associations/?param=<script>alert(1)</script>disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
La mitigation principale consiste à mettre à jour l'application vers une version corrigée où le problème d'échappement des sorties a été résolu. En attendant la mise à jour, il est possible de mettre en place des règles de filtrage côté serveur (WAF) pour bloquer les requêtes contenant des scripts potentiellement malveillants. Il est également recommandé de sensibiliser les utilisateurs aux risques de XSS et de les encourager à signaler les comportements suspects. Après la mise à jour, vérifiez l'absence de scripts injectés en testant les fonctionnalités d'associations multilingues avec des entrées malicieuses.
Actualice Joomla! a la última versión disponible. Esto solucionará la vulnerabilidad XSS en el componente de asociaciones multilingües.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité XSS dans le composant d'associations multilingues, permettant l'injection de scripts malveillants.
Si vous utilisez une version entre 4.0.0 et 6.0.3, vous êtes potentiellement affecté. Vérifiez l'utilisation du composant.
Mettez à jour vers une version corrigée. En attendant, utilisez un WAF et sensibilisez les utilisateurs.
À ce jour, il n'y a pas de preuves d'exploitation active, mais la vigilance est recommandée.
Consultez les avis de sécurité du fournisseur de l'application et les bases de données de vulnérabilités comme NVD.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.