Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Nuova vulnerabilità critica in Joomla!

CMS  Joomla!  PHP  remote code execution   lunedì, 28 dicembre 2015

A pochi giorni di distanza dal recente aggiornamento di sicurezza di Joomla!, è stata scoperta una nuova vulnerabilità critica del noto CMS, strettamente correlata alla precedente, che, se sfruttata, può causare l’esecuzione di codice da remoto. Questa vulnerabilità, alla quale non è stato ancora assegnato un codice CVE, affligge tutte le versioni di Joomla! dalla 1.5.0 alla 3.4.6.

Stando a quanto riportato dal team Joomla Security Strike, il problema alla base della vulnerabilità oggetto del precedente aggiornamento (CVE-2015-8562) sarebbe un bug nel linguaggio di scripting PHP, già risolto nel settembre 2015 con le versioni di PHP 5.4.45, 5.5.29 e 5.6.13 (non è presente in PHP 7). L’aggiornamento, che porta la versione di questo CMS alla 3.4.7, contiene un workaround per questo bug in tutte le versioni di PHP supportate.

Si raccomanda pertanto a tutti i gestori di siti Web che utilizzano Joomla! di aggiornare con urgenza la propria piattaforma alla versione 3.4.7.

Vista la criticità di questa falla, anche in questo caso il Joomla! Project ha messo a disposizione patch urgenti per le versioni EOL (end of life) 1.5 e 2.5 di questo CMS.

Joomla! 3.4.7 risolve anche una vulnerabilità di bassa severità di tipo SQL injection.

Per maggiori dettagli sui problemi di sicurezza risolti in Joomla! 3.4.7 è possibile consultare i bollettini relativi all’aggiornamento sul sito Joomla! Developer Network (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza critici per Magento

14 ottobre 2019

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono un totale di 53 vulnerabilità, di cui 12 critiche e altre 12 di gravità elevata.Leggi tutto

Gravi vulnerabilità in vBulletin 5.5.x

10 ottobre 2019

Sono state scoperte tre diverse vulnerabilità in vBulletin, la più grave delle quali potrebbe essere sfruttata da un attaccante remoto per eseguire codice arbitrario sui server affetti.Leggi tutto

Aggiornamento di sicurezza Android (ottobre 2019)

8 ottobre 2019

Google ha rilasciato l'aggiornamento di sicurezza di ottobre che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto