Inicio / Protege tu empresa / Avisos Seguridad / Si tu web usa Joomla! toca actualizar

Si tu web usa Joomla! toca actualizar

Fecha de publicación: 
03/03/2021
Importancia: 
2 - Baja
Recursos afectados: 

Versiones de Joomla!

  • desde la 3.2.0, hasta la 3.9.24
  • desde la 3.0.0, hasta la 3.9.24
  • desde la 2.5.0, hasta la 3.9.24
  • desde la 1.6.0, hasta la 3.9.24
Descripción: 

Se ha publicado una actualización de seguridad del gestor de contenidos Joomla! que soluciona vulnerabilidades y bugs que afectan a su núcleo(core).

Solución: 

Si la versión que tienes instalada se encuentra entre las citadas anteriormente, actualiza a la versión 3.9.25, que encontrarás en la web oficial de Joomla!, o bien desde el propio panel de administración del gestor de contenidos. En caso de contar con un proveedor externo, remítele esta información para que pueda aplicar estas actualizaciones de seguridad.

Sigue estos pasos:

En primer lugar, accede a la consola de administración. Por lo general, la ruta es http://MIDOMINIO/”alias_backend” (generalmente «administrator»).

Imagen que muestra el inicio de sesión de Joomla!

Una vez has accedido, el propio gestor te mostrará un aviso en un mensaje situado en la parte superior de la pantalla. En él se detalla la existencia de una nueva versión de Joomla! En este caso, la 3.9.25:

Imagen que muestra la actualización disponible de Joomla! que en este caso es la 3.9.25

Al hacer clic sobre el botón «Actualizar ahora», pasarás a otra pantalla donde debes pulsar el botón «Instalar la actualización».

Imagen que muestra información sobre la versión actual de Joomla! y la nueva disponible del gestor de contenidos.

Esto iniciará el proceso de instalación:

Imagen que muestra la barra de progreso de actualización.

Una vez haya concluido dicho proceso, se mostrará el siguiente mensaje: «Su sitio ha sido actualizado. Ahora su versión de Joomla! es la 3.9.25». En este momento, el gestor de contenidos ya está actualizado a la última versión disponible.

Imagen que muestra que la actualización de Joomla! se ha realizado correctamente.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

Detalle: 

Joomla! ha publicado una actualización del gestor de contenidos que corrige nueve vulnerabilidades:

  • Aleatoriedad insegura y longitud insuficiente para el secreto en la generación del secreto 2FA (autenticación de doble factor).
  • La implementación de la generación de valores aleatorios criptográficos, utilizaba una implementación potencialmente insegura que ha sido reemplazada.
  • XSS (Cross-site scripting) en los mensajes de alerta mostrados a los usuarios y en la biblioteca del analizador de feeds.
  • Falta de validación de entradas en el gestor de plantillas.
  • Validación incorrecta de entradas (com_media) que permite cargar imágenes en rutas que no están destinadas a ello.
  • Las comprobaciones incorrectas de ACL (Lista de Control de Acceso o Access Control List), podrían permitir el cambio no autorizado de la categoría de un artículo.
  • La extracción de un paquete zip, específicamente diseñado podría escribir archivos fuera de la ruta prevista.
  • Un filtrado inadecuado del contenido de los formularios podría permitir sobrescribir el campo author.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos del INCIBE-CERT.

Línea de ayuda en ciberseguridad 017