Joomla! rilascia aggiornamenti per vulnerabilità XSS e CSV Injection nel Core

12/06/2019

CMS Joomla

Joomla! ha rilasciato un avviso di sicurezza che correggono vulnerabilità di tipo “Incorrect Access Control”, XSS e CSV Injection nel core.

Vulnerabilità CSV Injection nel CORE di Joomla!

I dettagli della vulnerabilità sono di seguito riportati:

[20190601] – Core – CSV injection in com_actionlogs

  • Impatto: Basso
  • Gravità: Basso
  • Versioni Interessate: dalla 3.9.0 alla 3.9.6
  • Tipo Exploit: CSV Injection
  • CVE Number: CVE-2019-12765

Descrizione: Il CSV export nel modulo com_actionlogs è vulnerabile a CSV Injection.


Vulnerabilità XSS nel CORE di Joomla!

I dettagli della vulnerabilità sono di seguito riportati:

[20190602] – Core – XSS in subform field

  • Impatto: Moderato
  • Gravità: Basso
  • Versioni Interessate: dalla 3.6.0 alla 3.9.6
  • Tipo Exploit:XSS
  • CVE Number: CVE-2019-12766

Descrizione: Il “subform fieldtype” non filtra e/o convalida correttamente l’input dei “sottocampi”. Questo potrebbe portare a vettori di attacco di tipo XSS.


Vulnerabilità Incorrect Access Control nel CORE di Joomla!

I dettagli della vulnerabilità sono di seguito riportati:

[20190603] – Core – ACL hardening of com_joomlaupdate

  • Impatto: Basso
  • Gravità: Basso
  • Versioni Interessate: dalla 3.8.13 alla 3.9.6
  • Tipo Exploit: Incorrect Access Control
  • CVE Number: CVE-2019-12764

Descrizione: L’URL del server di aggiornamento di com_joomlaupdate può essere modificata da utenti non di Super-Admin.


Remediation:

Joomla ha rilasciato una nuova versione del CMS che corregge la vulnerabilità di sicurezza sopra riportata e altri bug minori. Si raccomanda pertanto di aggiornare il prodotto all’ultima versione disponibile.

Taggato  CMS Joomla