Rilasciata al versione 3.8.8 del CMS Joomla!

23/05/2018

CMS Joomla
In data 22 Maggio 2018 il team di sviluppo del CMS Joomla! ha pubblicato nove distinti avvisi di sicurezza notificando vulnerabilità di diverso tipo che impattano il CMS. Le vulnerabilità, che possono essere risolte tramite l’aggiornamento di versione a Joomla 3.8.8, interessano il “core” del CMS e sono:
Vulnerabilità di tipo XSS a cui è associato il CVE-2018-11326 causata da un filtraggio dell’input inadeguato che impatta le versioni di Joomla! dalla 3.0.0 alla 3.8.7.
Trattasi di una falla contrassegnata dal CVE-2018-11325 che può determinare, sulle versioni di Joomla! dalla 3.0.0 alla 3.8.7, la potenziale divulgazione di informazioni.
Vulnerabilità, nota dal 30 marzo 2018, di tipo XSS associata al CVE-2018-11328, con impatto sul CMS dalla versione 3.1.2 alla 3.8.7.
Dalla nota del vendor, la falla di sicurezza riferibile al CVE-2018-11323 emersa l’8 marzo 2018 con impatto su Joomla! dalla versione 2.5.0 fino alla 3.8.7, è di tipo “ACL violation” causata da controlli inadeguati che permetterebbero agli utenti di modificare i livelli di accesso dei gruppi di utenti con autorizzazioni più elevate.
La falla di sicurezza, scoperta il 14 maggio 2018, è di tipo “Remote Code Execution” CVE-2018-11321 ed affligge il CMS dalla versione 3.7.0 fino alla 3.8.7. Un filtraggio inadeguato consentirebbe agli utenti autorizzati di creare campi personalizzati per manipolare le opzioni di filtro e iniettare un’opzione non valida.
A seconda della configurazione del server, con impatto su Joomla! CMS dalla versione 2.5.0 alla 3.8.7, i file PHAR potrebbero essere gestiti come script PHP eseguibili sul server web. Alla vulnerabilità di tipo “Malicious file upload” è associato il CVE-2018-11322.
L’inadeguato filtraggio dei nomi di file e cartelle potrebbe agevolare vettori di attacco XSS nel media manager. La falla nota dal 28 ottobre 2017 è contrassegnata dal CVE-2018-6378 con impatto sulle versioni dalla 1.5.0 alla 3.8.7.
Stando alla nota del vendor, un processo in background di lunga durata, come i controlli remoti per gli aggiornamenti del core o delle estensioni, potrebbe creare una condizione di “Session race condition”. Sono affette dal CVE-2018-11324 le versioni di Joomla! CMS dalla 3.0.0 alla 3.8.7.
Controlli inadeguati permetterebbero agli utenti di vedere i nomi dei tag che erano o non pubblicati o pubblicati con autorizzazione di visualizzazione limitata provocando una potenziale divulgazione di informazioni con impatto, tramite il CVE-2018-11327, sulle versioni dalla 3.1.0 alla 3.8.7.
 
Di seguito un riepilogo delle vulnerabilità in relazione all’impatto:
Joomla versione 3.8.8 è disponibile per far fronte alle problematiche di sicurezza sopra indicate e contiene correzioni di bug oltre che includere generici miglioramenti relativi alla sicurezza.
 
L’aggiornamento del CMS è altamente consigliato, anche in risposta all’ascesa della botnet chiamata Brain Food (Malicious PHP Script), attiva su migliaia di server Web compromessi ed identificata dai ricercatori di Proofpoint che hanno indicato gli indicatori di compromissione ad essa associati.
Taggato  CMS Joomla