Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Nuova vulnerabilità critica in Joomla!

CMS  Joomla!  PHP  remote code execution   lunedì, 28 dicembre 2015

A pochi giorni di distanza dal recente aggiornamento di sicurezza di Joomla!, è stata scoperta una nuova vulnerabilità critica del noto CMS, strettamente correlata alla precedente, che, se sfruttata, può causare l’esecuzione di codice da remoto. Questa vulnerabilità, alla quale non è stato ancora assegnato un codice CVE, affligge tutte le versioni di Joomla! dalla 1.5.0 alla 3.4.6.

Stando a quanto riportato dal team Joomla Security Strike, il problema alla base della vulnerabilità oggetto del precedente aggiornamento (CVE-2015-8562) sarebbe un bug nel linguaggio di scripting PHP, già risolto nel settembre 2015 con le versioni di PHP 5.4.45, 5.5.29 e 5.6.13 (non è presente in PHP 7). L’aggiornamento, che porta la versione di questo CMS alla 3.4.7, contiene un workaround per questo bug in tutte le versioni di PHP supportate.

Si raccomanda pertanto a tutti i gestori di siti Web che utilizzano Joomla! di aggiornare con urgenza la propria piattaforma alla versione 3.4.7.

Vista la criticità di questa falla, anche in questo caso il Joomla! Project ha messo a disposizione patch urgenti per le versioni EOL (end of life) 1.5 e 2.5 di questo CMS.

Joomla! 3.4.7 risolve anche una vulnerabilità di bassa severità di tipo SQL injection.

Per maggiori dettagli sui problemi di sicurezza risolti in Joomla! 3.4.7 è possibile consultare i bollettini relativi all’aggiornamento sul sito Joomla! Developer Network (in Inglese):

Notizie correlate

Vulnerabilità multiple 0-day in VxWorks

1 agosto 2019

Sono state scoperte 11 gravi vulnerabilità zero-day nei sistemi operativi VxWorks prodotti da Wind River che possono consentire l'esecuzione di codice da remoto.Leggi tutto

Grave Vulnerabilità in ProFTPd

25 luglio 2019

È stata scoperta una grave vulnerabilità di tipo esecuzione di codice da remoto nell’applicativo ProFTPd.Leggi tutto

Vulnerabilità critica in VLC media player

24 luglio 2019

È stata recentemente scoperta una vulnerabilità critica in VideoLAN VLC media player che può consentire l'esecuzione di codice arbitrario.Leggi tutto