Noticias

Actualización de seguridad de Joomla! 3.9.16

Fecha de publicación: 11/03/2020

Importancia:
Baja

Recursos afectados:

  • Joomla! CMS, versiones:
    • desde la 1.7.0, hasta la 3.9.15;
    • desde la 3.2.0, hasta la 3.9.15;
    • desde la 3.0.0, hasta la 3.9.15;
    • desde la 2.5.0, hasta la 3.9.15;
    • desde la 3.7.0, hasta la 3.9.15.

Descripción:

Joomla! ha publicado una nueva versión que soluciona 6 vulnerabilidades de criticidad baja en su núcleo, de los tipos SQL injection, CSRF, XSS, acceso de control incorrecto y colisión de identificadores.

Solución:

  • Actualizar a la versión 3.9.16.

Detalle:

  • La falta de casting de tipos en una variable de una instrucción SQL conduce a una vulnerabilidad de inyección SQL en el menú frontal de “Artículos destacados”. Se ha reservado el identificador CVE-2020-10243 para esta vulnerabilidad.
  • La falta de comprobación en las acciones de imagen en com_templates provoca vulnerabilidades CSRF. Se ha reservado el identificador CVE-2020-10241 para esta vulnerabilidad.
  • El manejo inadecuado de los selectores de CSS en el JavaScript de Protostar y Beez3 permite los ataques mediante XSS. Se ha reservado el identificador CVE-2020-10242 para esta vulnerabilidad.
  • Varias acciones en las plantillas de comunicación carecen de las comprobaciones ACL necesarias, lo que conduce a varios vectores potenciales de ataque. Se ha reservado el identificador CVE-2020-10238 para esta vulnerabilidad.
  • La falta de controles de longitud en la tabla de usuarios puede llevar a la creación de usuarios con nombres de usuario y/o direcciones de correo electrónico duplicados. Se ha reservado el identificador CVE-2020-10240 para esta vulnerabilidad.
  • El control de acceso incorrecto en el tipo de campo SQL de com_fields permite el acceso de usuarios que no son superadmin. Se ha reservado el identificador CVE-2020-10239 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, CMS, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.