Recursos afectados:
- Joomla! CMS, versiones:
- desde la 1.7.0, hasta la 3.9.15;
- desde la 3.2.0, hasta la 3.9.15;
- desde la 3.0.0, hasta la 3.9.15;
- desde la 2.5.0, hasta la 3.9.15;
- desde la 3.7.0, hasta la 3.9.15.
Descripción:
Joomla! ha publicado una nueva versión que soluciona 6 vulnerabilidades de criticidad baja en su núcleo, de los tipos SQL injection, CSRF, XSS, acceso de control incorrecto y colisión de identificadores.
Solución:
- Actualizar a la versión 3.9.16.
Detalle:
- La falta de casting de tipos en una variable de una instrucción SQL conduce a una vulnerabilidad de inyección SQL en el menú frontal de “Artículos destacados”. Se ha reservado el identificador CVE-2020-10243 para esta vulnerabilidad.
- La falta de comprobación en las acciones de imagen en com_templates provoca vulnerabilidades CSRF. Se ha reservado el identificador CVE-2020-10241 para esta vulnerabilidad.
- El manejo inadecuado de los selectores de CSS en el JavaScript de Protostar y Beez3 permite los ataques mediante XSS. Se ha reservado el identificador CVE-2020-10242 para esta vulnerabilidad.
- Varias acciones en las plantillas de comunicación carecen de las comprobaciones ACL necesarias, lo que conduce a varios vectores potenciales de ataque. Se ha reservado el identificador CVE-2020-10238 para esta vulnerabilidad.
- La falta de controles de longitud en la tabla de usuarios puede llevar a la creación de usuarios con nombres de usuario y/o direcciones de correo electrónico duplicados. Se ha reservado el identificador CVE-2020-10240 para esta vulnerabilidad.
- El control de acceso incorrecto en el tipo de campo SQL de com_fields permite el acceso de usuarios que no son superadmin. Se ha reservado el identificador CVE-2020-10239 para esta vulnerabilidad.