Individuate cinque vulnerabilità nel core di Joomla!

10/10/2018

CMS Joomla Vulnerabilità

Dal monitoraggio delle fonti emerge il rilascio di avvisi di sicurezza per il CMS Joomla!


Le vulnerabilità individuate interessano il CORE del CMS e sono:

[20181001] – Core – Hardening com_contact contact form

Impatto: Moderato
Gravità: Bassa
Versioni Interessate: dalla 2.5.0 alla 3.8.12
Tipo Exploit: Controllo di accesso errato
CVE Number: CVE-2018-17859

Descrizione:Controlli inadeguati in “com_contact” potrebbero consentire l’invio della posta in moduli disabilitati.


[20181002] – Core – Inadequate default access level for com_joomlaupdate

Impatto: Alto
Gravità: Bassa
Versioni Interessate: dalla 2.5.4 alla 3.8.12
Tipo Exploit: Object Injection
CVE Number: CVE-2018-17856

Descrizione: Il “com_joomlaupdate” di Joomla consente l’esecuzione di codice arbitrario. La configurazione ACL predefinita consente agli utenti amministratori di accedere a “com_joomlaupdate” e attivare l’esecuzione del codice.


20181003] – Core – Access level Violation in com_tags
Impatto:Moderato
Gravità: Bassa
Versioni Interessate: dalla 3.1.0 alla 3.8.12
Tipo Exploit: Violazione ACL
CVE Number: CVE-2018-17857

Descrizione: Controlli inadeguati sui campi di ricerca dei “tag” possono portare a una violazione del livello di accesso.


[20181004] – Core – ACL Violation in com_users for the admin verification

Impatto: Moderato
Gravità: Bassa
Versioni Interessate: dalla 1.5.0 alla 3.8.12
Tipo Exploit: Violazione ACL
CVE Number: CVE-2018-17855

Descrizione: Nel caso in cui un utente malintenzionato acceda all’account di posta di un utente che può approvare le verifiche dell’amministratore nel processo di registrazione, l’utente può auto-attivarsi l’account.


[20181005] – Core – CSRF hardening in com_installer

Impatto: Moderato
Gravità: Bassa
Versioni Interessate: dalla 2.5.0 alla 3.8.12
Tipo Exploit: CSRF
CVE Number: CVE-2018-17858

Descrizione: Le azioni di “com_installer” non hanno un hardening CSRF sufficiente nel back-end.


Per tutte le vulnerabilità la soluzione consiste nel passaggio alla versione 3.8.13.

Si ricorda che la versione non impattata è l’ultima disponibile, gli sviluppatori di Joomla! rilasceranno prossimamente la 4 mentre la 4.0 Alpha 4 è già stata pubblicata con finalità di test.