Joomla! rilascia aggiornamenti per quattro vulnerabilità nel Core del CMS

12/03/2019

CMS Joomla Vulnerabilità

Joomla! ha rilasciato nella giornata di ieri degli avvisi di sicurezza che correggono principalmente quattro vulnerabilità insite nel CMS.

Vulnerabilità XSS nel CORE di Joomla!

I dettagli delle vulnerabilità sono di seguito riportate.

[20190301] – Core – XSS in com_config JSON handler

  • Impatto: Basso
  • Gravità: Basso
  • Versioni Interessate: dalla 3.2.0 alla 3.9.3
  • Tipo Exploit: XSS
  • CVE Number: CVE-2019-9712

Descrizione: L’handler  JSON nel modulo com_config non effettua la validazione dell’input comportando una vulnerabilità di tipo XSS.


[20190302] – Core – XSS in item_title layout

  • Impatto: Basso
  • Gravità: Basso
  • Versioni Interessate: dalla 3.0.0 alla 3.9.3
  • Tipo Exploit: XSS
  • CVE Number: CVE-2019-9711

Descrizione: Il layout item_title nelle viste di modifica non presenta controlli su input utente, causando una vulnerabilità XSS.


[20190303] – Core – XSS in media form field

  • Impatto: Basso
  • Gravità: Basso
  • Versioni Interessate: dalla 3.0.0 alla 3.9.3
  • Tipo Exploit: XSS
  • CVE Number: CVE-2019-9714

Descrizione: Il media form fiels non presenta controllo di input utentee, causando un vulnerabilità XSS.


[20190304] – Core – Missing ACL check in sample data plugins

  • Impatto: Moderato
  • Gravità: Alta
  • Versioni Interessate: dalla 3.8.0 alla 3.9.3
  • Tipo Exploit: XSS
  • CVE Number: CVE-2019-9713

Descrizione: I sample data plug-in non dispongono di controlli ACL, consentendo l’accesso non autorizzato.


Per tutte le vulnerabilità la soluzione consiste nel passaggio alla versione 3.9.4.

Va precisato che la versione non impattata è l’ultima disponibile sul sito ufficiale, gli sviluppatori Joomla! rilasceranno prossimamente la versione 4 mentre è già stata pubblicata con finalità di test la versione 4 Alpha.