Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/06/03

Garrantzia: Ertaina

Kaltetutako baliabideak:

• Joomla! CMS, honako bertsioak:
  • 2.5.0tik 3.9.18ra;
  • 3.0.0tik 3.9.18ra.

Azalpena:

Joomla! Sistemak bertsio berri bat argitaratu du. Bere guneari eragiten dioten 5 ahultasun konpontzen ditu. Kritikotasun ertaineko ahultasun bat eta kritikotasun baxuko lau konpontzen ditu. Motak: Cross-site scripting (XSS), Cross-site request forgery (CSRF) eta berezko konfigurazioetan akatsak gertatzea. 

Konponbidea:

Joomla! 3.9.19 bertsiora eguneratzea.

Xehetasunak:

• Tarteko kritikotasunak jQuery-ren DOM-aren manipulazio metodoei eragiten die, eta XSS eraso bat gerta liteke. Ahultasun horietarako CVE-2020-11022 eta CVE-2020-11023 identifikatzaileak erreserbatu dira.
• Larritasun baxuko ahultasunak ondoren azalduta daude: 
• • "Articles ? Newsflash" y "Articles ? Categories" moduluen etiketen goiburuetako aukeran sartzeko parametroak ez balioztatuta, XSS erasoak gerta litezke. Ahultasun horretarako, CVE-2020-13761 identifikatzailea esleitu da.
  • "Textfilter" konfigurazio globalaren berezko parametroek ez dute gonbidatutako erabiltzaileen HTML sarrerarik blokeatzen ("Guest"). CVE-2020-13763 kodea esleitu zaio ahultasun horri.
  • Com_modules moduluaren etiketa aukeran sartzeko balioztatzea oker eginda, XSS erasoak gerta litezke. Ahultasun horretarako, CVE-2020-13762 identifikatzailea esleitu da.
  • com_postinstall sisteman tokenak ez konprobatzeak CSRF motako eraso bat bideratu lezake. Ahultasun horretarako CVE-2020-13760 identifikatzailea esleitu da.

Etiketak: Eguneraketa, CMS, Ahultasuna