Plateforme
joomla
Composant
phoca_maps
Corrigé dans
5.0.1
Plusieurs vulnérabilités de Cross-Site Scripting (XSS) ont été découvertes dans le composant Phoca Maps pour Joomla, affectant les versions 5.0.0 à 5.0.0-6.0.2. Ces failles se trouvent dans la logique de rendu des cartes et des icônes, permettant à un attaquant d'injecter du code JavaScript malveillant. Aucune solution n'est disponible pour le moment.
La CVE-2026-23900 affecte Phoca Maps pour Joomla dans les versions de 5.0.0 à 6.0.2, exposant les sites web à de multiples vulnérabilités Cross-Site Scripting (XSS) stockées. Ces vulnérabilités résident dans la logique de rendu des cartes et des icônes, permettant à un attaquant d'injecter du code malveillant qui s'exécute dans le navigateur d'autres utilisateurs. L'impact peut varier du vol de cookies et de sessions à la redirection vers des sites web malveillants ou à la modification du contenu de la page. La gravité de la vulnérabilité dépend de la sensibilité des informations gérées par le site web et du niveau d'accès qu'un attaquant peut obtenir. L'absence d'une solution disponible actuellement aggrave le risque, nécessitant des mesures préventives immédiates.
Un attaquant pourrait exploiter ces vulnérabilités XSS stockées en injectant du code malveillant via des formulaires, des champs de saisie ou tout autre point où les utilisateurs peuvent fournir des données utilisées pour générer des cartes ou des icônes. Une fois le code malveillant stocké, il sera déclenché lorsqu'un autre utilisateur accédera à la page contenant le contenu malveillant. Cela pourrait se produire, par exemple, lors du chargement d'une carte avec un marqueur personnalisé contenant du code XSS. L'absence de validation et de désinfection des entrées utilisateur permet aux attaquants de contourner les défenses standard et d'exécuter du code arbitraire dans le contexte de l'utilisateur cible.
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
Étant donné qu'il n'existe pas de correctif officiel pour la CVE-2026-23900, l'atténuation se concentre sur les mesures préventives. Nous recommandons fortement de mettre à jour vers la dernière version disponible de Phoca Maps dès qu'elle est disponible. En attendant, il est suggéré de mettre en œuvre un filtrage d'entrée robuste pour désinfecter les données fournies par les utilisateurs qui sont utilisées dans la génération de cartes et d'icônes. L'application de politiques de sécurité du contenu (CSP) pour restreindre les sources de scripts exécutables sur le site web est également recommandée. Surveiller activement le site web à la recherche d'activités suspectes et limiter l'accès aux fonctionnalités de Phoca Maps aux utilisateurs autorisés sont également des étapes cruciales.
Actualice el componente Phoca Maps a una versión posterior a 6.0.2 para mitigar las vulnerabilidades XSS. Consulte la documentación del proveedor en https://phoca.cz/ para obtener instrucciones detalladas sobre cómo actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web vues par d'autres utilisateurs.
Cela signifie que le développeur de Phoca Maps n'a pas encore publié une mise à jour qui corrige cette vulnérabilité. Cela nécessite des mesures d'atténuation alternatives.
Effectuez des tests d'intrusion ou utilisez des outils de numérisation des vulnérabilités pour identifier les points d'entrée XSS potentiels sur votre site web.
CSP (Content Security Policy) est une couche de sécurité qui vous permet de définir les sources de contenu autorisées à se charger sur une page web, réduisant ainsi le risque de XSS.
Isolez le site web, enquêtez sur l'incident, supprimez tout code malveillant et informez les utilisateurs concernés.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.