Actualización de seguridad para Joomla.

Se ha publicado una nueva versión de Joomla que corrige 3 problemas de seguridad en este CMS que afectaban a toda las versiones 3 de Joomla.



Joomla es un popular gestor de contenidos en código abierto que cuenta con una gran cantidad de plantillas y componentes que un usuario puede utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores. Este hecho, unido a su popularidad, convierte al gestor de contenidos en un objetivo muy popular para los atacantes.

Los tres problemas de seguridad han sido calificados con un impacto alto y los detallamos a continuación:

  • A la primera vulnerabilidad se le ha asignado el identificador CVE-2020-8419 y es causada a la falta de comprobación de los tokens de autenticación al realizar acciones en lotes.
  • A la segunda vulnerabilidad se le ha asignado el identificador         CVE-2020-8420 y es causada por una falta de comprobación del token de autenticación en el compilador LESS del componente “com_templates”.
  • La tercera vulnerabilidad ha sido calificada con el identificador CVE-2020-8421 y es causada por un escapado inadecuado del parámetro nombre de usuario, en el componente “com_actionlogs”. Esta vulnerabilidad podría ser aprovechada por un atacante remoto través de un ataque XSS especialmente manipulado.

Las dos primeras vulnerabilidades podrían ser aprovechadas por un atacante remoto a través de un ataque CSRF (Cross-site request forgery) especialmente manipulado.

Todas estas vulnerabilidades afectan desde la versión 3.0.0 hasta la 3.9.14, y se recomienda actualizar a la última versión disponible lo antes posible.

Más información:

Joomla 3.9.15 ya está disponible
https://mejorconjoomla.com/noticias/joomla-3-9-15-ya-esta-disponible

Paquetes para nuevas instalaciones
https://downloads.joomla.org/cms/joomla3/3-9-15/Joomla_3.9.15-Stable-Full_Package.zip?format=zip

Paquetes de actualización
https://downloads.joomla.org/cms/joomla3/3-9-15

Fuente: unaaldia.hispasec.com

Comments are closed.