iCagenda 3.5.18

Icagenda 3.5.18, la correction d'une faille de sécurité une mise à jour à faire impérativement sur les sites en Joomla!2.5

Quoi de neuf dans cette version iCagenda 3.5.18?

Une possible faille de cross-site scripting a été decouverte dans icagenda lorsqu'il est déployé sur un site en 2.5. (Les utilisateurs de joomla3 et d'iCagenda 3.6 alpha n'ont donc rien à craindre).

Qu'est-ce que le cross-site scripting?

Le cross-site scripting est une faille de sécurité qui permet d'injecter du contenu dans une page ce qui peut entrainer des actions sur les navigateurs web visitant la page. Cette faille de sécurité n'est donc pas dangereuse pour le site web en lui-même mais elle l'est pour les lecteurs qui peuvent être redirigés vers un autre site sans le savoir/vouloir (vers un site du "phishing"), le danger ne s'arrête pas là pour les utilisateurs car ils peuvent aussi se faire voler des informations (sessions, cookies.....) ou bien encore le script qui aurait été injecté pourrait exécuter des action sous l'identité de la victime et à son insu ( envoi de messages, suppression de données…).

Il est donc recommandé de mettre à jour votre composant le plus rapidement possible. De plus l'équipe d'icagenda conseille aux utilisateurs de joomla2.5 de prévoir rapidement une migration en Joomla 3 pour évider ce genre de problème ( Joomla 2.5 n'étant plus mis à jour depuis décembre 2014. Et car icagenda ne sera plus compatible avec Joomla2.5 après le passage en version 3.6)

Change Log de cette version

Bugs corrigés dans la version 3.5.18

  • Added : username of the user who has submitted event in frontend (event admin edition, Publishing tab).

  • Changed : a few minor code cleaning.

  • [SECURITY][MEDIUM][Joomla 2.5.x ONLY!] Fixed : possible non-persistent (or reflected) cross-site scripting vulnerability (Note: if you have a Joomla 3 website, you DON'T have this security vulnerability. If you use iCagenda

  • 3.6.0-alpha, NO ISSUE on both Joomla versions 2.5 and 3). A reflected attack is typically delivered via email or a neutral web site. The bait is an innocent-looking URL, pointing to a trusted site but containing the XSS vector. Ifthe trusted site is vulnerable to the vector, clicking the link can cause the victim's browser to execute the injected script (your joomla 2.5 site is not directly compromised, but your visitor could be... please, update!). Again, it'srecommended for all users still using Joomla 2.5, to upgrade to Joomla 3 as soon as possible! (Joomla 2.5 is not updated and end of life since December 2014. iCagenda will stop support Joomla 2.5 after iCagenda 3.6 release.)

  • [LOW] Fixed : alias generation if unicode enabled in Joomla global configuration.

  • [LOW] Fixed : user name display in list of events when created_by not set.

  • [LOW] Fixed : possible issue on multiple clicks on submit button (frontend form) resulting in duplicated data.

  • [LOW] Fixed : ordering by username in admin events list.

  • [LOW] Fixed : white page in admin control panel on pdo-mysql database.

  • [LOW] Fixed : issue with some date formats in en-US language.

  • [LOW] Fixed : issue with quick icon plugin on iCagenda uninstall (Joomla admin control panel white page).

  • [LOW] Fixed : 'Place' name translation with Falang.

  • [LOW] Fixed & improved : Image name control (space replacement) and renaming if needed, in frontend 'Submit an Event' form.

  • [LOW][MODULE][PRO] Fixed : missing events if date filter is set to display only past events.

Fichiers modifiés dans la version 3.5.18

  • admin/models/category.php

  • admin/models/event.php

  • admin/models/events.php

  • admin/models/forms/event.xml

  • admin/utilities/categories/categories.php

  • admin/utilities/events/data.php

  • admin/utilities/form/form.php

  • admin/views/event/tmpl/edit.php

  • admin/views/event/view.html.php

  • admin/views/events/tmpl/default.php

  • admin/views/icagenda/tmpl/default.php

  • admin/views/info/tmpl/default.php

  • [LIBRARY] libraries/ic_library/globalize/culture/en-US.php

  • [MODULE][PRO] modules/mod_ic_event_list/mod_ic_event_list.php

  • [PLUGIN] plugins/quickicon/icagendaupdate/icagendaupdate.php

  • site/helpers/ichelper.php

  • site/helpers/icmodel.php

  • site/models/list.php

  • site/models/submit.php

  • site/views/list/view.html.php

  • site/views/submit/tmpl/default.php

Agence Agerix Bordeaux

4 rue Jean Moulin - 33310 Lormont

Agerix Bordeaux

Agence Agerix Paris

1 avenue Albert Bartholomé 75015 Paris

Agerix Paris

Ce site utilise Google Analytics. En continuant à naviguer, vous nous autorisez à déposer un cookie à des fins de mesure d'audience.