Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/03/11

Garrantzia: Txikia

Kaltetutako baliabideak: 

• Joomla! CMS, honako bertsioak: 
  • 1.7.0 bertsiotik 3.9.15 bertsiora bitartekoak;
  • 3.2.0 bertsiotik 3.9.15 bertsiora bitartekoak;
  • 3.0.0 bertsiotik 3.9.15 bertsiora bitartekoak;
  • 2.5.0 bertsiotik 3.9.15 bertsiora bitartekoak;
  • 3.7.0 bertsiotik 3.9.15 bertsiora bitartekoak.

Azalpena: 

Joomla!-k bertsio berri bat argitaratu du, bere nukleoak dituen kritikotasun txikiko 6 ahultasun konpontzen dituena, era ezberdinekoak: SQL injekzioa, CSRF, XSS, sarbidearen kontrol okerra eta identifikatzaileen talka.

Konponbidea: 

• 3.9.16 bertsiora eguneratzea.

Xehetasuna: 

• SQL agindu baten aldagai batean tipoen casting faltak SQL injekzio erako ahultasun bat eragiten du "Artikulu nabarmenduak" menu frontalean. Ahultasun horretarako CVE-2020-10243 identifikatzailea erreserbatu da.
• com_templates-en irudi eragiketen egiaztapen faltak CSRF erako ahultasunak eragiten ditu. Ahultasun horretarako CVE-2020-10241 identifikatzailea erreserbatu da.
• Protostar eta Beez3-ren JavaScript-ean CSS hautatzaileen erabilpen desegokiak XSS bidezko erasoak ahalbidetzen ditu. Ahultasun horretarako CVE-2020-10242 identifikatzailea erreserbatu da.
• Komunikazio txantiloietako hainbat ekintzek ez dituzte beharrezkoak diren egiaztapenak, eta horrek hainbat eraso bektore ahalbidetzen ditu. Ahultasun horretarako CVE-2020-10238 identifikatzailea erreserbatu da.
• Erabiltzaileen taulan luzera kontrolik ez egoteak eragin dezake erabiltzaile izena edota helbide elektronikoa bikoiztuta duten erabiltzaileak sortzea. Ahultasun horretarako CVE-2020-10240 identifikatzailea erreserbatu da.
• com_fields-en SQL eremu motan sarbidearen kontrol okerrak ahalbidetzen du superadmin ez diren erabiltzeen sarbidea. Ahultasun horretarako CVE-2020-10239 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, CMS, Ahultasuna