Actualización de seguridad de Joomla! 3.9.6

Fecha de publicación 08/05/2019
Importancia
2 - Baja
Recursos Afectados
  • Joomla! CMS, versiones desde 1.7.0 hasta 3.9.5.
Descripción

[Actualización 09/05/2019] Joomla! ha publicado una nueva versión que soluciona dos vulnerabilidades de criticidad baja en su núcleo. Estas vulnerabilidades son de tipo cross-site scripting (XSS) e inyección de objetos.

Solución
  • Actualizar a la versión 3.9.6.
Detalle
  • Las vistas de depuración de com_users no saneaban correctamente los datos suministrados por el usuario, lo que permite realizar un ataque XSS. Se ha reservado el identificador CVE-2019-11809 para esta vulnerabilidad.
  • [Actualización 09/05/2019] En Joomla 3.9.3, una vulnerabilidad de deserialización insegura al ejecutar archivos Phar se trató eliminando el vector de ataque conocido en el núcleo de Joomla. Para interceptar invocaciones de archivos como file_exists o stat en archivos Phar comprometidos, el nombre base tiene que ser determinado y verificado antes de permitir que sea manipulado por los streams de PHP Phar. Sin embargo, la implementación utilizada es vulnerable a path traversal, lo que conduce a escenarios en los que el archivo Phar que se va a evaluar no es el archivo real (comprometido).

Encuesta valoración

Listado de referencias
Joomla 3.9.6 Release
[20190501] - Core - XSS in com_users ACL debug views
[20190502] - Core - By-passing protection of Phar Stream Wrapper Interceptor
Etiquetas