Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Nueva actualización de seguridad del gestor de contenidos Joomla!

Fecha de publicación 10/10/2018
Importancia
2 - Baja
Recursos Afectados

Versiones de Joomla! 1.5.0 a 3.8.12

Descripción

Se han publicado nuevas actualizaciones de seguridad del gestor de contenidos web Joomla! para dar solución a varias vulnerabilidades que afectan a su núcleo (core).

Solución

Si tienes instalada cualquier versión de las citadas anteriormente, te recomendamos que actualices a la última versión 3.8.13, la cual podrás encontrar en la web oficial de Joomla! o actualizar desde el panel de gestión del propio gestor de contenidos. 

Si cuentas con un proveedor externo, remítele esta información para que pueda aplicar la actualización de seguridad, a través de los siguientes pasos:

En primer lugar, habrá que acceder a la consola de administración. Por lo general, la ruta es http://MIDOMINIO/”alias_backend” (generalmente «administrator»

Imagen de introducción de credenciales de Joomla

Una vez hayas accedido, podrás comprobar cómo el propio gestor avisa, a través de un mensaje situado en la parte superior de la pantalla, sobre la existencia de una nueva versión de Joomla! En este caso, la 3.8.13:

Imagen que muestra el aviso de actualización disponible

Al pulsar sobre el botón «Actualizar ahora», iremos a una segunda pantalla donde únicamente deberemos hacer clic en el botón «Instalar la actualización». El resto del texto es meramente informativo:

Imagen que muestra el botón de iniciar la actualización

En el último paso, arrancará el proceso de instalación y al finalizar se mostrará el siguiente mensaje: «Su sitio ha sido actualizado correctamente». En este momento, el gestor de contenidos ya estará actualizado a la última versión disponible. 

Imagen que muestra la barra de progreso del proceso de instalación

Imagen que muestra que el proceso ha finalizado correctamente

Importante: Antes de hacer este tipo de acciones en entornos de producción es recomendable realizar las pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.
 

Detalle

La actualización está relacionada con las siguientes mejoras y resolución de vulnerabilidades:

  • Aumento del nivel de seguridad ante ataques tipo CSRF (Cross-Site Request Forgery). Se trata de un tipo de ataque que obliga al usuario a ejecutar acciones maliciosas sobre la aplicación web en la que se encuentran autenticados. Esta actualización va dirigida a aquellas acciones que el módulo de administración «com_installer» realiza en el backend
  • Vulnerabilidad que permitiría a un atacante con acceso a una cuenta de correo con capacidad de otorgar permisos de administración en el proceso de registro, activarse a sí mismo. 
  • Vulnerabilidad en los campos de búsqueda de etiquetas que podrían producir una violación del nivel de acceso. En Joomla! los niveles de acceso se utilizan para controlar el acceso a los contenidos de nuestro sitio web. 
  • Vulnerabilidad detectada en la configuración predeterminada de las listas de control de acceso (en inglés ACL o access control list), que permitiría una ejecución de código para usuarios administradores de la web, en el módulo «com_joomlaupdate».
  • Vulnerabilidad relacionada con verificaciones inadecuadas en el módulo «com_contact», que permitirían el envío de correos en formularios deshabilitados. 

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

  • ¿Mi web está en una lista negra?
  • El día que mi empresa atacó a otra por internet sin saberlo
  • Mi página web está suplantando a una web bancaria
  • Mi web está siendo atacada por un grupo Yihadista

Si aplica: Tu soporte tecnológico puede consultar una solución más técnica el área de avisos del INCIBE-CERT.

Mejoramos contigo. Participa en nuestra encuesta