De Hispasec – Una al Día: Vulnerabilidades en Joomla! (12/08/2016)

Vulnerabilidades en Joomla!

viernes, 12 de agosto de 2016

Se han anunciado tres vulnerabilidades en Joomla! que podrían permitir a atacantes remotos realizar ataques de cross-site scripting y cross-site request forgery o evitar las ACL. 

joomla-logoJoomla es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de contenidos en un objetivo muy popular para que los atacantes.

El primer problema reside en un filtrado inadecuado de los datos en el componente mail que podría permitir la realización de ataques de cross-site scripting, por otra parte errores en las comprobaciones de las listas de control de acceso (ACLs) en ‘com_content’ podrán permitir acceso de lectura a datos restringidos a usuarios con nivel edit_own. Estos dos problemas afectan a las versiones 1.6.0 hasta la 3.6.0. Por último, en Joomla! CMS 3.6.0 se ha mejorado la protección contra ataques de cross-site request forgery en com_joomlaupdate.

Se ha publicado la versión 3.6.1 disponible desde www.joomla.org

Más información:

Security Centre

http://developer.joomla.org/security-centre.html

 

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Joomla, Seguridad, Vulnerabilidades, Web. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *