Depuis la publication de cet article K2 a été purement et simplement réhabilité dans l'annuaire des extensions Joomla.

C'est un peu inédit dans l'histoire de la Liste des Extensions Vulnérables de Joomla (VEL), l'éditeur de l'extension met en cause l'avis de la VEL.

Cette dernière a émis une alerte de sécurité concernant l'extension Joomla K2. Cette extension est très répandue sur les sites Joomla.

K2 est une extension de type CCK, Content Construction Kit, permettant de personnaliser son site. Elle semble en perte de vitesse depuis les nombreuses fonctionnalités ajoutées aux dernières versions de Joomla.

La version 2.6.8 contiendrait une faille de type Cross Site Scripting permettant à des malfaisants d'exécuter du code JavaScript dans le contexte du site web.

Cette faille a été également annoncée par le site vigil@ance.

Aussitôt l'Annuaire des Extensions Joomla (JED) a retiré K2 de ses listes.

L'éditeur réplique en indiquant que la VEL c'est trompé et qu'il n'y a pas de faille de sécurité dans son extension Joomla.

L'équipe de JoomlaWorks se veut rassurante dans ce post.

Nous vous conseillons quand même de procéder à une sauvegarde complète de votre site.

A noter que chez le même éditeur le plugin AllVideo avait été corrigé il y a quelques jours.