Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Si utilizas Joomla! como gestor de contenidos, deberás actualizarlo

Fecha de publicación 12/06/2019
Importancia
2 - Baja
Recursos Afectados

Versiones de Joomla! de la 3.6.0 a 3.9.6

Descripción

Se ha publicado una nueva actualización de seguridad del gestor de contenidos Joomla! que da solución a varias vulnerabilidades que afectan a su núcleo (core).

Solución

Si la versión que tienes instalada se encuentra entre las citadas anteriormente, te recomendamos que actualices a la última versión 3.9.8, que encontrarás en la web oficial de Joomla! o desde el panel de administración del propio gestor de contenidos. 

En caso de contar con un proveedor externo, remítele esta información para que pueda aplicar estas actualizaciones de seguridad, a través de los siguientes pasos:

En primer lugar, deberás acceder a la consola de administración. Por lo general, la ruta es http://MIDOMINIO/”alias_backend” (generalmente «administrator»).

Imagen que muestra la pantalla de Joomla! en la que se debe introducir usuario y contraseña.

Una vez hayas accedido, podrás comprobar cómo el propio gestor te muestra un aviso a través de un mensaje situado en la parte superior de la pantalla. En él se detalla la existencia de una nueva versión de Joomla! En este caso, la 3.9.8:

Imagen que muestra la pantalla de Joomla! donde se avisa al usuario de que existe una nueva versión disponible para instalar, en este caso la 3.9.8

Al hacer clic sobre el botón «Actualizar ahora», irás a una otra pantalla donde únicamente deberás pulsar el botón «Instalar la actualización». El resto del texto es meramente informativo:

Imagen que muestra la pantalla de Joomla! donde aparece el botón instalar la actualización.

Tras este paso, se arrancará el proceso de instalación:

Imagen que muestra la pantalla de Joomla! donde se ve la barra de progreso de la instalación.

Una vez haya concluido dicho proceso, se mostrará el siguiente mensaje: «Su sitio ha sido actualizado correctamente». En este momento, el gestor de contenidos, ya estará actualizado a la última versión disponible. 

Imagen que muestra la pantalla de Joomla! donde se indica que el sitio ha sido actualizado correctamente

Importante: Antes de hacer este tipo de acciones en entornos de producción, es recomendable realizar las pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.
 

Detalle

Joomla! ha publicado dos versiones. La primera de ellas, la 3.9.7, soluciona las siguientes vulnerabilidades:

  • Una vulnerabilidad que permitiría que el servidor de actualización fuera manipulado por usuarios sin permisos de administrador. 
  • Una vulnerabilidad del tipo Cross-site scripting (XSS), que permitiría a un atacante ejecutar código malicioso en el navegador de la víctima y así hacerse con el control del gestor de contenidos, mediante los datos introducidos en campos del subformulario.
  • Una vulnerabilidad relacionada con las exportaciones de datos a CSV, que permitiría la inyección de código malicioso al realizar las descargas de este tipo de ficheros de datos. 

Pero además, ha publicado una nueva versión, la 3.9.8, cuyo objetivo es corregir un fallo funcional introducido por error en la 3.9.7. 

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados a través de casos reales:

En caso de disponer de soporte tecnológico, el personal puede consultar una información más técnica a través del servicio de avisos de INCIBE-CERT.

Mejoramos contigo. Participa en nuestra encuesta