[Verse 1] Balbooa Forms, premier suspect sur notre liste noire Un formulaire sans verrou, sans gardien, sans mémoire N'importe qui peut déposer un fichier sur le serveur Pas besoin de mot de passe, pas de badge, pas de coeur Le système accepte tout — les images, les scripts exécutables Un inconnu glisse un programme, et soudain tout devient vulnérable La porte du grenier grande ouverte sous la pluie CVE deux mille vingt-six, cinquante-six deux neuf deux [Chorus] Téléversement sans restriction, danger sans invitation Des fichiers exécutables qui franchissent chaque bastion Trois plateformes exposées, trois brèches à corriger Balbooa, iCagenda, SP Page Builder — à protéger Patch immédiat, vérification, validation du type Sinon un inconnu prend les rênes de votre crypte [Verse 2] iCagenda gère vos événements, vos rendez-vous, vos dates Mais dans la pièce jointe se cache quelque chose qui éclate L'option d'attachement de fichier accepte du PHP brut Un attaquant upload du code — et le serveur s'exécute Quarante-huit neuf trente-neuf, retenez ce numéro Le calendrier devient terrain de jeu pour un zéro Plus aucun événement n'est sûr sur votre agenda Quand le backend tourne du code que vous n'avez pas écrit là [Chorus] Téléversement sans restriction, danger sans invitation Des fichiers exécutables qui franchissent chaque bastion Trois plateformes exposées, trois brèches à corriger Balbooa, iCagenda, SP Page Builder — à protéger Patch immédiat, vérification, validation du type Sinon un inconnu prend les rênes de votre crypte [Bridge] JoomShaper construit des pages, brique par brique, module après module Mais SP Page Builder laisse entrer sans ticket, sans scrupule Utilisateur non authentifié — même pas connecté Il glisse un exécutable, et le serveur est compromis Quarante-huit neuf zéro huit, troisième alerte du jour Trois plugins Joomla touchés avant même le retour du four La leçon est simple — chaque upload doit être filtré Vérifier l'extension, le type MIME, avant d'accepter [Chorus] Téléversement sans restriction, danger sans invitation Des fichiers exécutables qui franchissent chaque bastion Trois plateformes exposées, trois brèches à corriger Balbooa, iCagenda, SP Page Builder — à protéger Patch immédiat, vérification, validation du type Sinon un inconnu prend les rênes de votre crypte [Outro] Treize juillet, trois CVE gravés dans le registre Mettez à jour vos plugins avant que ça devienne sinistre Un fichier mal contrôlé suffit pour tout compromettre Aujourd'hui c'est leur tour — demain c'est peut-être le vôtre
← Gazette du Canada — 13 juillet 2026 | Vulnérabilités critiques (2 sur 3) — 13 juillet 2026 →