Actualización de seguridad de Joomla! 3.9.23
Fecha de publicación 25/11/2020
Importancia
4 - Alta
Recursos Afectados
Joomla! CMS, versiones:
- desde la 3.0.0, hasta la 3.9.22;
- desde la 2.5.0, hasta la 3.9.22;
- desde la 1.7.0, hasta la 3.9.22.
Descripción
Joomla! ha publicado una nueva versión que soluciona 7 vulnerabilidades de criticidad baja en su núcleo, de los tipos divulgación de información, limitación inadecuada de una ruta de acceso a un directorio restringido (path traversal),inyección SQL, enumeración de usuarios, Cross-site Request Forgery (CSRF) y violación ACL (Access Control List).
Solución
Actualizar a la versión 3.9.23.
Detalle
- [Actualización 22/12/2020] La función autosuggestion de com_finder ignora el nivel de acceso, lo que podría permitir la divulgación de información. Se ha asignado el identificador CVE-2020-35610 para esta vulnerabilidad.
- [Actualización 22/12/2020] La página de configuración global no elimina la información confidencial en la salida HTML, revelando los valores actuales. Se ha asignado el identificador CVE-2020-35611 para esta vulnerabilidad.
- [Actualización 22/12/2020] El parámetro de carpeta de mod_random_image carece de validación de entrada, lo que podría permitir una limitación inadecuada de una ruta de acceso a un directorio restringido (path traversal). Se ha asignado el identificador CVE-2020-35612 para esta vulnerabilidad.
- [Actualización 22/12/2020] El filtrado inadecuado en la configuración de la blacklist, podría permitir a un atacante la inyección SQL en la lista de usuarios del backend. Se ha asignado el identificador CVE-2020-35613 para esta vulnerabilidad.
- [Actualización 22/12/2020] La gestión inadecuada del nombre de usuario, podría permitir a un atacante la enumeración de usuarios en la página de inicio de sesión del backend. Se ha asignado el identificador CVE-2020-35614 para esta vulnerabilidad.
- [Actualización 22/12/2020] La falta de comprobación del token en la función emailexport de com_privacy, podría permitir a un atacante llevar a cabo ataques de tipo Cross-site Request Forgery (CSRF). Se ha asignado el identificador CVE-2020-35615 para esta vulnerabilidad.
- [Actualización 22/12/2020] La falta de validación de los datos de entrada durante el uso del conjunto de las reglas ACL, podría permitir a un atacante violar la escritura de ACL. Se ha asignado el identificador CVE-2020-35616 para esta vulnerabilidad.
Listado de referencias
Etiquetas