Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Actualización de seguridad de Joomla! 3.9.18

Fecha de publicación 22/04/2020
Importancia
2 - Baja
Recursos Afectados
  • Joomla! CMS, versiones:
    • desde la 3.8.8, hasta la 3.9.16;
    • desde la 2.5.0, hasta la 3.9.16.
Descripción

Joomla! ha publicado dos nuevas versiones que solucionan 3 vulnerabilidades de criticidad baja en su núcleo, todas ellas del tipo control de acceso incorrecto.

Joomla! desaconseja actualizar a la versión 3.9.17 y recomienda actualizar directamente a la versión 3.9.18.

Solución

Actualizar a la versión 3.9.18.

Detalle
  • Una incorrecta comprobación de com_users en las Listas de Control de Acceso (ACL), podría permitir a un atacante no autorizado editar el grupo de usuarios. Se ha asignado el CVE-2020-11891 para esta vulnerabilidad.
  • Una incorrecta validación de los parámetros de entrada en la clase tabla del grupo de usuarios podría romper la configuración de las ACL. Se ha asignado el CVE-2020-11890 para esta vulnerabilidad.
  • Una incorrecta comprobación de com_users en las ACL, podría permitir a un atacante no autorizado eliminar el grupo de usuarios. Se ha asignado el CVE-2020-11889 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Joomla 3.9.18 Release
Joomla 3.9.17 Release
[20200401] - Core - Incorrect access control in com_users access level editing function
[20200402] - Core - Missing checks for the root usergroup in usergroup table
[20200403] - Core - Incorrect access control in com_users access level deletion function
Etiquetas