Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualización de seguridad de Joomla! 3.9.16

Fecha de publicación 11/03/2020
Importancia
2 - Baja
Recursos Afectados
  • Joomla! CMS, versiones:
    • desde la 1.7.0, hasta la 3.9.15;
    • desde la 3.2.0, hasta la 3.9.15;
    • desde la 3.0.0, hasta la 3.9.15;
    • desde la 2.5.0, hasta la 3.9.15;
    • desde la 3.7.0, hasta la 3.9.15.
Descripción

Joomla! ha publicado una nueva versión que soluciona 6 vulnerabilidades de criticidad baja en su núcleo, de los tipos SQL injection, CSRF, XSS, acceso de control incorrecto y colisión de identificadores.

Solución
  • Actualizar a la versión 3.9.16.
Detalle
  • La falta de casting de tipos en una variable de una instrucción SQL conduce a una vulnerabilidad de inyección SQL en el menú frontal de "Artículos destacados". Se ha reservado el identificador CVE-2020-10243 para esta vulnerabilidad.
  • La falta de comprobación en las acciones de imagen en com_templates provoca vulnerabilidades CSRF. Se ha reservado el identificador CVE-2020-10241 para esta vulnerabilidad.
  • El manejo inadecuado de los selectores de CSS en el JavaScript de Protostar y Beez3 permite los ataques mediante XSS. Se ha reservado el identificador CVE-2020-10242 para esta vulnerabilidad.
  • Varias acciones en las plantillas de comunicación carecen de las comprobaciones ACL necesarias, lo que conduce a varios vectores potenciales de ataque. Se ha reservado el identificador CVE-2020-10238 para esta vulnerabilidad.
  • La falta de controles de longitud en la tabla de usuarios puede llevar a la creación de usuarios con nombres de usuario y/o direcciones de correo electrónico duplicados. Se ha reservado el identificador CVE-2020-10240 para esta vulnerabilidad.
  • El control de acceso incorrecto en el tipo de campo SQL de com_fields permite el acceso de usuarios que no son superadmin. Se ha reservado el identificador CVE-2020-10239 para esta vulnerabilidad.

Encuesta valoración