Joomla! ha rilasciato nella giornata di ieri degli avvisi di sicurezza che correggono principalmente quattro vulnerabilità di tipo XSS insite nel CMS.

Vulnerabilità XSS Stored nel CORE di Joomla!

[20190101] – Core – Stored XSS in mod_banners

Impatto: Basso
Gravità: Basso
Versioni Interessate: dalla 2.5.0 alla 3.9.1
Tipo Exploit: XSS
CVE Number: CVE-2019-6264

Descrizione: Inadeguato “Escaping” dei caratteri nel modulo “mod_banners” comporta una vulnerabilità di tipo “Stored XSS”.

[20190102] – Core – Stored XSS in com_contact

Impatto: Basso
Gravità: Basso
Versioni Interessate: dalla 2.5.0 alla 3.9.1
Tipo Exploit: XSS
CVE Number: CVE-2019-6261

Descrizione: Inadeguato “Escaping” dei caratteri nel modulo “com_contact” comporta una vulnerabilità di tipo “Stored XSS”.

[20190103] – Core – Stored XSS issue in the Global Configuration textfilter settings

Impatto: Basso
Gravità: Basso
Versioni Interessate: dalla 2.5.0 alla 3.9.1
Tipo Exploit: XSS
CVE Number: CVE-2019-6263

Descrizione: Controlli inadeguati alle impostazioni del filtro di testo della configurazione globale consentono una vulnerabilità di tipo  “Stored XSS”.

[20190104] – Core – Stored XSS issue in the Global Configuration help url

Impatto: Basso
Gravità: Basso
Versioni Interessate: dalla 2.5.0 alla 3.9.1
Tipo Exploit: XSS
CVE Number: CVE-2019-6262

Descrizione: Controlli inadeguati nelle impostazioni di helpurl nella configurazione globale comportano una vulnerabilità di tipo “Stored XSS”.

Per tutte le vulnerabilità la soluzione consiste nel passaggio alla versione 3.9.2.

Va precisato che la versione non impattata è l’ultima disponibile sul sito ufficiale, gli sviluppatori Joomla! rilasceranno prossimamente la versione 4 mentre è già stata pubblicata con finalità di test la versione 4 Alpha.