Joomla 3.9.21: actualización de seguridad

Los gestores de contenidos, como WordPress, Joomla, Drupal, etcétera, son un objetivo prioritario para los ciberdelincuentes. Y es más que comprensible, puesto que obtener acceso a un servidor web puede comprometer la seguridad de todas las personas que acceden al mismo. El resultado de un ataque positivo se puede traducir en miles de víctimas que, confiando en la legitimidad del sitio pueden abrir documentos, descargar ejecutables… un vector de difusión excepcional y, por lo tanto, muy codiciado.

Ocurre, precisamente por ello, que el software empleado en los servidores web suele ser analizado una y mil veces, en busca de agujeros de seguridad que puedan ser empleados para tomar el control. Y, fruto de ello, el ritmo de actualización de Joomla, WordPress y familia suele ser bastante frecuente. Es cierto que no todas las actualizaciones conllevan algún cambio relativo a la seguridad, pero sí que todas aquellas que mejoran algún punto en este sentido deben ser aplicadas a la mayor brevedad posible.

Y en este sentido, el Instituto Nacional de Ciberseguridad (INCIBE) ha publicado hoy una comunicación informando de la actualización de Joomla a la versión 3.9.21, que corrige tres problemas de seguridad detectados previamente (si bien a día de hoy no se han difundido detalles técnicos sobre los mismos que permitan explotarlos). Afectan a diferentes versiones de Joomla, si bien en todos los casos quedan corregidos con la actualización a la 3.9.21.

• CVE-2020-24599: La falta de validación de escape o salida en el módulo mod_latestactions podría permitir ataques de tipo XSS (Cross-site scripting) y por lo tanto la inyección de código malicioso en el gestor de contenidos. Afecta a las versiones de Joomla de la 3.9.0 a la 3.9.20.
• CVE-2020-24598: La falta de validación de los datos de entrada en el módulo com_content podría conducir a una redirección abierta. Un ciberdelincuente podría aprovechar esta vulnerabilidad para usar el sitio web con el fin de dar la apariencia de una dirección URL legítima, pero redirigir al usuario a un phishing u otra página web malintencionada. Afecta a las versiones de Joomla de la 3.0.0 a la 3.9.20.
• CVE-2020-24597: La falta de validación de los datos de entrada podría permitir en el módulo com_media que se establecieran rutas fuera del directorio raíz de la web. Afecta a las versiones de Joomla de la 2.5.0 a la 3.9.20.

Aunque la gravedad de estas tres vulnerabilidades se ha calificado como baja, esto no indica que puedan no ser tenidas en cuenta. No obstante, sí que proporciona una cierta tranquilidad para que, a la hora de realizar la actualización, y especialmente en sitios web complejos, ésta se pueda llevar a cabo de manera ordenada, realizando primero las pruebas necesarias en el servidor de staging (de contar con uno). Sin prisa, sí, pero también sin pausa.

La entrada Joomla 3.9.21: actualización de seguridad es original de MuySeguridad. Seguridad informática.