Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Protege tu web, actualiza Joomla! a su nueva versión

Fecha de publicación 23/05/2018
Importancia
3 - Media
Recursos Afectados

Versiones de Joomla! 1.5.0 hasta la 3.8.7

Descripción

Se ha publicado una actualización de seguridad para el gestor de contenidos web Joomla! que soluciona varias vulnerabilidades que afectan al núcleo (core) de dicho gestor.

Solución

Si en tu servidor tienes instalada cualquier versión de las citadas anteriormente, te recomendamos actualizar urgentemente a la versión de Joomla! 3.8.8, que puedes descargar en la web de Joomla! o actualizar directamente desde el panel de gestión del gestor de contenidos.

Si tu web es mantenida por un proveedor externo, remítele esta información para poder aplicar la actualización siguiendo los pasos adecuados.

Los pasos de actualización de Joomla! son los siguientes:

Para poder actualizar el portal Joomla! de la empresa, es necesario acceder a la consola de administración, por lo general accediendo a la ruta http://MIDOMINIO/"alias_backend"(generalmente "administrator"):

Nada más entrar nos aparecerá un aviso de que existe una nueva versión de Joomla!, en la parte superior de la pantalla. En este caso se trata de la versión 3.8.8:

Actualizar ahora

Pulsaremos sobre el botón "Actualizar Ahora" de la parte superior y nos aparecerá una segunda pantalla, donde sólo tendremos que pulsar en el botón "Instalar la actualización", el resto del texto es sólo informativo:

Instalar la actualización

Comenzará la instalación y al terminar, sin tener que realizar ninguna acción adicional, se mostrará un mensaje indicando que "Su sitio ha sido actualizado correctamente". Nuestro sitio estará actualizado a la última versión disponible de Joomla!

Proceso de actualización

Joomla! actualizado

Importante: Antes de hacer este tipo de acciones en entornos de producción es necesario hacer pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

Detalle

La actualización soluciona las siguientes vulnerabilidades: 

  • Tres vulnerabilidades de tipo XSS (del inglés cross-site scripting), que permitirían a un atacante la inyección de código de su elección el cual podría cambiar la configuración del servidor, destruir el sitio web, secuestrar cuentas y sesiones de usuarios, escuchar comunicaciones (incluso cifradas), dirigir al usuario a sitios maliciosos, instalar publicidad en el sitio web y, en general, cualquier acción que desee de forma inadvertida para el administrador. 
  • Varias vulnerabilidades que permitirían a usuarios autorizados crear campos personalizados para inyectar opciones no validadas, revelar la contraseña de administrador, la ejecución de código a elección del atacante, la modificación de los niveles de acceso de los usuarios y la alteración de los procesos que se ejecutan en segundo plano.

Tu soporte tecnológico puede consultar una solución más técnica el área de avisos del CERTSI.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este Checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en esto casos reales: