Dettaglio News Dettaglio News

Risolte due vulnerabilità al core di Joomla
28/06/2018

Il 26 giugno 2018 il team di sviluppo di Joomla ha annunciato la risoluzione di due vulnerabilità che interessano il core del CMS. 

Alla prima è stata assegnato il CVE-2018-12712 e può comportare l'inclusione locale di file. La problematica risiede nel codice autoload che si occupa di verificare se i nomi delle classi PHP siano valide, nella versione di PHP 5.3 questa funzione convalida anche quei nomi che non dovrebbero essere validi. 

Per quanto riguarda la seconda, con CVE-2018-12711, è una vulnerabilità di tipo Cross Site Scripting (XSS) sui parametri utilizzati per il cambio della lingua corrente. 

Versioni Joomla impattate

Le versioni del CMS interessate alle falle vanno dalla 1.6.0 alla 3.8.8 per la vulnerabilità XSS e dalla  2.5.0 alla 3.8.8 per la vulnerabilità di file inclusion.

Soluzione

Come emerge dal sito del progetto open source, è consigliabile aggiornare quanto prima il CMS alla versione 3.8.9 per far fronte alle minacce individuate.