Joomla! rilascia aggiornamenti per vulnerabilità XSS e Object Injection nel Core

07/05/2019

CMS Joomla

Joomla! ha rilasciato un avviso di sicurezza che corregge una vulnerabilità di tipo XSS insita nel componente com_users.

Vulnerabilità XSS nel CORE di Joomla!

I dettagli della vulnerabilità sono di seguito riportate.

[20190501] – Core – XSS in com_users ACL debug views

  • Impatto: Moderato
  • Gravità: Basso
  • Versioni Interessate: dalla 1.7.0 alla 3.9.5
  • Tipo Exploit: Cross Site Scripting (XSS)
  • CVE Number: CVE-2019-11809

Descrizione: La vulnerabilità XSS è presente in debug view ed è sfruttabile tramite il componente “com_users”.

Soluzione: Joomla! ha rilasciato una nuova versione del CMS che corregge la vulnerabilità di sicurezza sopra riportata e altri bug minori. Si raccomanda pertanto di aggiornare alla versione 3.9.6.


Aggiornamento 8/5/2019

Vulnerabilità Object Injection nel CORE di Joomla!

Nella giornata di oggi è stato rilasciato un ulteriore aggiornamento di sicurezza che corregge una vulnerabilità di tipo “Object Injection” nel core.

I dettagli della vulnerabilità sono di seguito riportate:

[20190502] – Core – By-passing protection of Phar Stream Wrapper Interceptor

  • Impatto: Basso
  • Gravità: Basso
  • Versioni Interessate: dalla 3.9.3 alla 3.9.5
  • Tipo Exploit: Object Injection

Descrizione: In Joomla 3.9.3, la vulnerabilità relativa ad un problema di “deserializzazione”  degli archivi Phar è stata risolta rimuovendo il vettore di attacco nel core di Joomla. Per intercettare le invocazioni dei file “file_exist” o “stat” sugli archivi Phar compromessi, il nome di base deve essere determinato e controllato prima di poter essere gestito dal Phar Stream Handling di PHP. L’implementazione utilizzata tuttavia risulta vulnerabile al path traversal che comporta scenari in cui l’archivio Phar da lavorare potrebbe non essere il file effettivo.

Soluzione: Joomla! ha rilasciato una nuova versione del CMS che corregge la vulnerabilità di sicurezza sopra riportata e altri bug minori. Si raccomanda pertanto di aggiornare alla versione 3.9.6.

Taggato  CMS Joomla