Actualización de seguridad de Joomla! 3.9.28

Fecha de publicación 07/07/2021
Importancia
4 - Alta
Recursos Afectados

Joomla! CMS, versiones:

  • desde la 3.0.0, hasta la 3.9.27;
  • desde la 2.5.0, hasta la 3.9.27.
Descripción

Joomla! ha publicado una nueva versión que soluciona 5 vulnerabilidades que afectan a su núcleo, de los tipos validación inadecuada de campos, falta de validación de los datos de entrada, cierre de sesión inadecuado tras un cambio de contraseña y ausencia de comprobaciones ACL.

Solución

Actualizar a la versión 3.9.28.

Detalle
  • La validación inadecuada en el campo Rules de la API de JForm conduce a una vulnerabilidad XSS. Se ha asignado el identificador CVE-2021-26035 para esta vulnerabilidad.
  • La falta de validación de los datos de entrada podría perjudicar la tabla de grupos de usuarios. Se ha asignado el identificador CVE-2021-26036 para esta vulnerabilidad.
  • Varias funciones del CMS no terminaban correctamente las sesiones de usuario existentes cuando se cambiaba la contraseña de un usuario o se le bloqueaba. Se ha asignado el identificador CVE-2021-26037 para esta vulnerabilidad.
  • La acción de instalación en com_installer carece de las comprobaciones ACL necesarias para los superusuarios, lo que podría conducir a varios vectores de ataque. Un sistema por defecto no se ve afectado porque com_installer está limitado a los superusuarios.Se ha asignado el identificador CVE-2021-26038 para esta vulnerabilidad.
  • La validación inadecuada en la vista imagelist de com_media conduce a una vulnerabilidad XSS. Se ha asignado el identificador CVE-2021-26039 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Joomla 3.9.28 Release
[20210701] - Core - XSS in JForm Rules field
[20210702] - Core - DoS through usergroup table manipulation
[20210703] - Core - Lack of enforced session termination
[20210704] - Core - Privilege escalation through com_installer
[20210705] - Core - XSS in com_media imagelist
Etiquetas