Corriger les failles de sécurité de Joomla 3 en un click !

Joomla 3 est en fin de vie. Le projet officiel a cessé de publier des mises à jour à la version 3.10.12, mais de nouvelles vulnérabilités continuent d'apparaître. Tout au long de 2025 et jusqu'en 2026, d'autres ont été identifiées via le programme eLTS, notamment une injection SQL de base de données et une faille dans le gestionnaire de médias permettant à des éditeurs de téléverser des fichiers PHP exécutables.

Corriger manuellement 59 fichiers par site est déjà  une tache fastidieuse quand on gère cinq site. Mais quand on en a cinq cents, cela devient tout simplement presque impossible.

mySites.guru corrige toutes les failles de sécurité connues de Joomla 3 en un seul click.
Tous les correctifs de sécurité de Joomla 3 sont inclus. Aucun abonnement eLTS (extended Long Time Support) n'est nécessaire.

Comment ça marche ?

L' outil de patch se trouve dans le "Snapshot" de chaque site  Joomla 3.10.12 de votre compte mySites.guru. En un click, le tour est joué.

Note : Cela fonctionne sur toute installation de Joomla 3.10.12. L' outil applique tous les correctifs jusqu'au dernier backport eLTS (3.10.20-elts et au-delà),  Il suffit donc de l'activer pour que le site soit immédiatement mis à jour. 

En arrière-plan, le connecteur mySites.guru suit le hachage MD5 de chaque fichier nécessitant un correctif. Cliquez sur le bouton lance la comparaison des hachages aux versions attendues, et remplace tout ce qui ne correspond pas. Désactivez le et les fichiers reviendront à la version 3.10.12 d'origine.

L' outil ne fonctionne que sur Joomla 3.10.12, la dernière version publiée de la série Joomla 3. Il ignore complètement le programme commercial eLTS.

Où trouver l'outil ?

Il existe deux façons d'y accéder :

1. Appuyez sur Cmd+K et recherchez « Fix All Known Joomla 3 »
2. Ouvrez le "Snapshot" de votre site et défilez jusqu'à la section Configuration Joomla

Les deux chemins mènent à une page de présentation listant tous les sites Joomla 3.10.12 que vous gérez, ainsi que le statut de correction de chacun.

Comment patcher plusieurs sites en un seul click ?

Vous avez des dizaines voir des centaines de sites Joomla 3 ? Cliquez sur l' icône "grille" pour ouvrir la vue générale de vos sites. Chaque site Joomla 3.10.12  a  son bouton de mise à jour. Si vous gérez plusieurs sites Joomla depuis le tableau de bord unique, c'est depuis cette vue groupée que vous passerez la plupart de votre temps.

Lien direct: manage.mysites.guru/en/tools/allsites/Joomla/joomlaconfiguration/joomla3eol 

Quelles sont les vulnérabilités corrigées?

Individuellement, aucune de ces failles ne suffira à pirater votre site. Mais cumulées sur un site non patché, elles finissent par le rendre vulnérable. Le patch couvre 59 fichiers et corrige toutes les vulnérabilités connues divulguées depuis la version 3.10.12 :

Vulnérabilités XXS

• CVE-2024-21724 - XSS in media selection fields
• CVE-2024-21725 - XSS in mail address outputs
• CVE-2024-21726 - Inadequate content filtering within the filter code
• CVE-2024-21731 - XSS in StringHelper::truncate method
• CVE-2024-26278 - XSS in com_fields default field value
• CVE-2024-26279 - XSS in Wrapper extensions
• CVE-2024-40743 - XSS vectors in Outputfilter::strip* methods
• CVE-2024-40747 - XSS vectors in module chromes
• CVE-2024-40748 - XSS vector in the id attribute of menu lists
• CVE-2025-63083 - XSS vector in the pagebreak plugin

Autres Vulnérabilités

• CVE-2024-27184 - Inadequate validation of internal URLs
• CVE-2024-27185 - Cache poisoning in pagination
• CVE-2024-21723 - Open redirect in installation application
• CVE-2024-21722 - Insufficient session expiration in MFA management views
• CVE-2023-40626 - Exposure of environment variables
• CVE-2024-40749 - Read ACL violation in multiple core views
• CVE-2025-22213 - Malicious file uploads via Media Manager
• CVE-2025-25226 - SQL injection in the quoteNameStr method of the database package

eLTS bug-fix-for-bug-fix patches

• Fixes in 3.10.19-elts that repair broken code shipped in 3.10.18-elts
• Fixes in 3.10.18-elts that repair broken code shipped in 3.10.17-elts

Comment les fichiers patchés apparaissent ils dans les audits ? 

Après l'application du patch, l'audit mySites.guru vous signalera les fichiers modifiés comme des modifications de fichiers core, en effet il s'agit de changements apportés à la distribution originale de la version 3.10.12. Vous pouvez inspecter chaque différence directement dans l'outil d'audit.

Quels fichiers le patch modifie-t-il ?

Le patch modifie 59 fichiers : un mélange de fichiers PHP (les correctifs de sécurité proprement dits) et de définitions de formulaires XML (validation des entrées plus stricte). Les deux sont nécessaires. Modifier uniquement les fichiers XML ne suffit pas.

Liste complète des fichiers patchés (59 fichiers) : 

• administrator/components/com_config/model/form/application.xml
• administrator/language/en-GB/en-GB.com_config.ini
• components/com_content/views/archive/view.html.php
• components/com_finder/views/search/view.html.php
• components/com_search/views/search/view.html.php
• libraries/src/Cache/Cache.php
• libraries/src/Pagination/Pagination.php
• administrator/components/com_banners/models/forms/banner.xml
• administrator/components/com_categories/models/forms/category.xml
• administrator/components/com_contact/config.xml
• administrator/components/com_contact/models/forms/contact.xml
• administrator/components/com_content/models/forms/article.xml
  administrator/components/com_fields/models/forms/field.xml
• administrator/components/com_menus/models/forms/item_alias.xml
• administrator/components/com_menus/models/forms/item_component.xml
• administrator/components/com_menus/models/forms/item_heading.xml
• administrator/components/com_menus/models/forms/item_separator.xml
• administrator/components/com_menus/models/forms/item_url.xml
• administrator/components/com_menus/models/forms/itemadmin_alias.xml
• administrator/components/com_menus/models/forms/itemadmin_component.xml
• administrator/components/com_menus/models/forms/itemadmin_container.xml
• administrator/components/com_menus/models/forms/itemadmin_heading.xml
• administrator/components/com_menus/models/forms/itemadmin_url.xml
• administrator/components/com_newsfeeds/models/forms/newsfeed.xml
• administrator/components/com_tags/models/forms/tag.xml
• administrator/components/com_users/models/user.php
• administrator/language/en-GB/en-GB.lib_joomla.ini
• administrator/templates/hathor/templateDetails.xml
• administrator/templates/isis/templateDetails.xml
• components/com_content/models/forms/article.xml
• components/com_tags/views/tag/tmpl/default.xml
• components/com_tags/views/tag/tmpl/list.xml
• components/com_tags/views/tags/tmpl/default.xml
• components/com_users/models/profile.php
• components/com_users/views/login/tmpl/default.xml
• components/com_wrapper/views/wrapper/tmpl/default.xml
• includes/framework.php
• libraries/cms/html/string.php
• libraries/fof/download/adapter/cacert.pem
• libraries/src/Form/Rule/UrlRule.php
• libraries/src/Http/Transport/cacert.pem
• libraries/src/Language/LanguageHelper.php
• libraries/src/Uri/Uri.php
• libraries/vendor/joomla/filter/src/InputFilter.php
• libraries/vendor/joomla/filter/src/OutputFilter.php
• modules/mod_custom/mod_custom.xml
• modules/mod_wrapper/mod_wrapper.xml
• plugins/user/profile/profile.php
• templates/beez3/templateDetails.xml
• templates/protostar/templateDetails.xml
• components/com_privacy/controller.php
• components/com_privacy/privacy.php
• components/com_users/controller.php
• components/com_users/users.php
• modules/mod_menu/tmpl/default.php
• administrator/components/com_media/controllers/file.php
• libraries/joomla/database/driver.php
• libraries/src/Helper/ModuleHelper.php
• plugins/content/pagebreak/pagebreak.php 

Pourquoi Joomla 3 reste-t-il d'actualité ?

Joomla 3 est encore omniprésent. W3Techs montre que la version 3 de Joomla gère la majorité des installations Joomla, ce qui est confirmé par  les propres statistiques d'utilisation de Joomla qui placent la version 3.10.x à plus de 35 % des sites identifiés.

Si vous gérez une agence digitale, vous savez déjà que migrer les clients de Joomla 3 vers la version 4 ou 5 nécessite l 'acceptation d'un budget, du temps de développement et l'accord du client. Cela ne se fait pas du jour au lendemain, et les sites ont tout de même besoin d'être protégés avant leur mise à jour.

Qu'est-ce que le projet Joomla 3.10.999 ?

Les patches intégrés dans mySites.guru proviennent du projet open-source Joomla 3.10.999. Ce dépôt contient toutes les versions de Joomla 3.10 à partir de la 3.10.12, ainsi que les diffs pour tous les patches publiés dans le cadre du programme eLTS commercial.

C 'est la même approche que les anciens dépôts Joomla 1.5.999 et Joomla 2.5.999. Il sera maintenu aussi longtemps que des sites Joomla 3 existeront.

Arrêtez de patcher les fichiers manuellement 

Si vous utilisez encore Joomla 3, arrêtez de surveiller les CVE manuellement. Ajoutez vos sites à mySites.guru & "flip the toggle, and get on with your day"

La sécurisation des sites Joomla et WordPress dans son ensemble est abordée dans le guide de sécurité WordPress et Joomla. Pour les workflows d'agence spécifiques à Joomla, consultez le manuel d'agence Joomla.

Cet article est une traduction libre du tutoriel de Phil Taylor : Fix Joomla 3 Security Issues in One Click