Individuate tre vulnerabilità nel core di Joomla!

28/08/2018

CMS Joomla Vulnerabilità
Dal monitoraggio delle fonti emerge il rilascio odierno di avvisi di sicurezza per il CMS Joomla!
Due delle vulnerabilità individuate interessano il prodotto tra le versioni 1.5.0 e 3.8.11 mentre una ha impatto nelle versioni comprese tra la 3.7.0 e la 3.8.11.
Le vulnerabilità rilevate sono:

  • [20180801] – Core – Hardening the InputFilter for PHAR stubs
Impatto: Alto
Gravità: Bassa
Versioni affette: dalla 1.5.0 alla 3.8.11
Tipologia di sfruttamento: Upload di file
Numero di CVE: CVE-2018-15882
Descrizione: Controlli inadeguati nella classe InputFilter potrebbero consentire ai file PHAR appositamente preparati di superare il filtro di caricamento.

  • [20180802] – Core – Stored XSS vulnerability in the frontend profile
Impatto: Basso
Gravità: Bassa
Versioni affette: dalla 1.5.0 alla 3.8.11
Tipologia di sfruttamento: XSS
Numero di CVE: CVE-2018-15880
Descrizione: Il filtraggio inadeguato dell’output sulla pagina del profilo utente potrebbe determinare un attacco di tipo XSS.

  • [20180803] – Core – ACL Violation in custom fields
Impatto: Basso
Gravità: Bassa
Versioni affette: dalla 3.7.0 alla 3.8.11
Tipologia di sfruttamento: Violazione di ACL
Numero di CVE: CVE-2018-15881
Descrizione: Controlli inadeguati relativi ai campi disabilitati potrebbero comportare una violazione delle ACL.

Per tutte le vulnerabilità la soluzione consiste nel passaggio alla versione 3.8.12.
 
Si ricorda che la versione non impattata è l’ultima disponibile, gli sviluppatori di Joomla! rilasceranno prossimamente la 4 mentre la 4.0 Alpha 4 è già stata pubblicata con finalità di test.