Actualización de seguridad de Joomla! 3.9.16

Fecha de publicación: 11/03/2020

Importancia:
Baja

Recursos afectados:

• Joomla! CMS, versiones:
  • desde la 1.7.0, hasta la 3.9.15;
  • desde la 3.2.0, hasta la 3.9.15;
  • desde la 3.0.0, hasta la 3.9.15;
  • desde la 2.5.0, hasta la 3.9.15;
  • desde la 3.7.0, hasta la 3.9.15.

Descripción:

Joomla! ha publicado una nueva versión que soluciona 6 vulnerabilidades de criticidad baja en su núcleo, de los tipos SQL injection, CSRF, XSS, acceso de control incorrecto y colisión de identificadores.

Solución:

• Actualizar a la versión 3.9.16.

Detalle:

• La falta de casting de tipos en una variable de una instrucción SQL conduce a una vulnerabilidad de inyección SQL en el menú frontal de «Artículos destacados». Se ha reservado el identificador CVE-2020-10243 para esta vulnerabilidad.
• La falta de comprobación en las acciones de imagen en com_templates provoca vulnerabilidades CSRF. Se ha reservado el identificador CVE-2020-10241 para esta vulnerabilidad.
• El manejo inadecuado de los selectores de CSS en el JavaScript de Protostar y Beez3 permite los ataques mediante XSS. Se ha reservado el identificador CVE-2020-10242 para esta vulnerabilidad.
• Varias acciones en las plantillas de comunicación carecen de las comprobaciones ACL necesarias, lo que conduce a varios vectores potenciales de ataque. Se ha reservado el identificador CVE-2020-10238 para esta vulnerabilidad.
• La falta de controles de longitud en la tabla de usuarios puede llevar a la creación de usuarios con nombres de usuario y/o direcciones de correo electrónico duplicados. Se ha reservado el identificador CVE-2020-10240 para esta vulnerabilidad.
• El control de acceso incorrecto en el tipo de campo SQL de com_fields permite el acceso de usuarios que no son superadmin. Se ha reservado el identificador CVE-2020-10239 para esta vulnerabilidad.

Etiquetas:
Actualización, CMS, Vulnerabilidad