Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Joomla! 3.9.3ren segurtasun eguneraketa

Argitalpen data: 2019/02/13

Garrantzia: Handia

Kaltetutako baliabideak:

  • Joomla! CMS, 1.0.0tik 3.9.2ra bitarteko bertsioak

Azalpena:

Joomla!-k bertsio berri bat argitaratu du, nukleoak dituen sei ahultasun konpontzen dituena, guztiak kritikotasun txikikoak.

Konponbidea:

  • 3.9.3 bertsiora eguneratzea.

Xehetasuna:

  • Core-aren hainbat osagaietan URL eremuen iragazte desegokia gertatzen da, eta horrek XSS erasoak ahalbidetu litzake. Ahultasun horretarako CVE-2019-7743 identifikatzailea erabili da.
  • Web zerbitzariaren konfigurazio zehatz batzuek, fitxategi mota berezi batzuekin eta "mime-type sniffing"-ekin konbinatuz gero nabigatzailearen aldean, XSS erasoak ahalbidetu litzakete. Ahultasun horretarako CVE-2019-7742 identifikatzailea erabili da.
  • "No Filtering" testu iragazkiak bigarren mailako konfigurazioa gainidazten du "Global configuration"-en. Portaera hori nahita gertatzen da eta ezustekoa izan liteke erabiltzailearentzat. Ahultasun horretarako CVE-2019-7739 identifikatzailea erabili da.
  • "Global configuration"-en "helpurl"-en ezarpenetako egiaztapen desegokiek XSS iraunkor bat ahalbidetu dezakete. Ahultasun horretarako CVE-2019-7741 identifikatzailea erabili da.
  • JS kodean gertatzen den parametroen erabilera desegoki batek XSS erasoak ahalbidetu litzake. Ahultasun horretarako CVE-2019-7740 identifikatzailea erabili da.
  • Fluxuen phar:// bilgarria erabil daiteke objekzioko injekzio erasoak egiteko. Ahultasun horretarako CVE-2019-7743 identifikatzailea erabili da.

Etiketak: Eguneraketa, Edukien kudeatzailea, Ahultasuna