Joomla! rilascia aggiornamenti per tre vulnerabilità nel Core del CMS

10/04/2019

CMS Joomla

Joomla! ha rilasciato degli avvisi di sicurezza che correggono principalmente tre vulnerabilità insite nel CMS.

Vulnerabilità XSS nel CORE di Joomla!

I dettagli delle vulnerabilità sono di seguito riportate.

[20190401] – Core – Directory Traversal in com_media

  • Impatto: Moderato
  • Gravità: Basso
  • Versioni Interessate: dalla 1.5.0 alla 3.9.4
  • Tipo Exploit: Directory Traversal
  • CVE Number: CVE-2019-10945

Descrizione: Il componente Media Manager non effettua correttamente la “sanitizzazione” del parametro Folder, consentendo agli attaccanti di operare fuori dalla directory principale del gestore multimediale.


[20190402] – Core – Helpsites refresh endpoint callable for unauthenticated users

  • Impatto: Basso
  • Gravità: Alto
  • Versioni Interessate: dalla 3.2.0 alla 3.9.4
  • Tipo Exploit: ACL Violation
  • CVE Number: CVE-2019-10946

Descrizione: L’endpoint “refresh list of helpsites” di com_users non dispone di controlli di accesso, consentendo chiamate da utenti non autenticati.


[20190403] – Core – Object.prototype pollution in JQuery $.extend

  • Impatto: Basso
  • Gravità: Moderata
  • Versioni Interessate: dalla 3.0.0 alla 3.9.4
  • Tipo Exploit: XSS
  • CVE Number: Da Assegnare

Descrizione: Il metodo The $.extend di JQuery è vulnerabile agli attachi di tipo “Object.prototype pollution”.


Per tutte le vulnerabilità la soluzione consiste nel passaggio alla versione 3.9.5.

Va precisato che la versione non impattata è l’ultima disponibile sul sito ufficiale, gli sviluppatori Joomla! rilasceranno prossimamente la versione 4 mentre è già stata pubblicata con finalità di test la versione 4 Alpha 1.

Taggato  CMS Joomla