Une vulnérabilité critique dans une extension d'e-commerce pour le système de gestion de contenu Joomla permet à des utilisateurs malveillants d'accéder à des privilèges de super administrateur sur les sites développés avec le très populaire CMS. « L'extension VirtueMart, qui permet d'intégrer une boutique en ligne sur un site Joomla, a été téléchargée plus de 3,5 millions de fois », a déclaré mercredi dans un blog Marc-Alexandre Montpas, chercheur en sécurité de Sucuri. « L'accès super administrateur donne un contrôle total sur le site et sur la base de données », a-t-il ajouté. Le problème, découvert la semaine dernière, a été corrigé dans la mise à jour 2.6.10 de VirtueMart livrée le 4 septembre. Dans le catalogue d'extensions pour Joomla, la page de VirtueMart conseille « à tous les sites tournants avec une version antérieure à la 2.6.10 de mettre à jour l'extension dès que possible pour des raisons de sécurité ». Dans un premier temps, Sucuri avait publié des détails techniques sur la vulnérabilité, mais les a retirés à la demande du développeur, car la faille pourrait également affecter d'autres extensions. « VirtueMart utilise les fonctions « bind » et « save » de la classe JUser de Joomla pour gérer les informations de comptes », a expliqué Marc-Alexandre Montpas. « Ce n'est pas un problème en soi, mais le code de cette classe est très délicat et il est facile de se tromper. Nous pensons que le problème vient de la classe Joomla elle-même, de sorte que nous ne divulguerons plus aucun détail sur le sujet ». Les développeurs de VirtueMart ont la même analyse. Ceux-ci n'ont pas apprécié que Sucuri dévoile des détails sur la faille, qualifiant cette décision « d'amateur » sur Twitter, car selon eux, VirtueMart n'est qu'une partie du problème.

Sur le site de VirtueMart, on trouve une longue liste de boutiques en ligne créées avec l'extension et il faudra probablement un certain temps avant que leurs propriétaires ne les mettent tous à jour. Entre temps, les données sensibles stockées dans leurs bases de données sont exposées. Mais, sur le blog de Sucuri, certains utilisateurs veulent en savoir un peu plus. « Excellent post, mais pourriez-vous nous orienter un peu pour que l'on puisse savoir où se trouve la faille de sécurité ? », écrit un utilisateur nommé Martijn Faber. « Nous avons actuellement des projets sous VirtueMart 2.6.8 qui ne peuvent pas être mis à jour facilement. Nous devons résoudre ce problème manuellement (ligne par ligne) », ajoute-t-il. « J'ai le même problème que Martijn. Pourriez-vous nous communiquer la liste des fichiers VirtueMart mis à jour ? », demande un autre utilisateur.