Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza critico per il CMS Joomla!

CMS  Joomla!  SQL injection   giovedì, 18 maggio 2017

Vulnerabilità di Joomla!Il 17 maggio il Joomla! Project ha rilasciato la versione 3.7.1 del suo CMS che risolve una vulnerabilità critica di tipo SQL injection (CVE-2017-8917) che potrebbe consentire ad un attaccante remoto non autenticato di eseguire comandi SQL arbitrari.

Se sfruttata con successo, questa vulnerabilità può consentire all’attaccante di eseguire un’ampia gamma di azioni malevole che possono portare alla totale compromissione di un sito vulnerabile. L’attaccante potrebbe ad esempio installare backdoor, effettuare il defacement del sito, inserire annunci pubblicitari o link fraudolenti, trafugare informazioni sensibili ed effettuare l’hijacking delle sessioni d’utente attive, ottenendo potenzialmente l’accesso al sito con i privilegi di amministratore.

La vulnerabilità è stata introdotta con la versione 3.7.0 di Joomla! e affligge unicamente questa versione. I dettagli tecnici della vulnerabilità sono stati resi disponibili pubblicamente dagli scopritori, per cui si ritiene che possa già essere stata sfruttata in-the-wild.

Vista la criticità di questa falla, contenuta nel codice “core” di Joomla!, si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare con urgenza la propria piattaforma.

Per maggiori dettagli sui problemi di sicurezza risolti in Joomla! 3.7.1 è possibile consultare il bollettino relativo all’aggiornamento sul sito Joomla! Developer Network (in Inglese):

Notizie correlate

Vulnerabilità critica di CKEditor in Drupal 7 e 8

19 aprile 2018

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata "moderately critical" in CKEditor, una libreria JavaScript inclusa nel CMS Drupal versione 7.x e 8.x.Leggi tutto

Aggiornamento di sicurezza critico per Drupal 7 e 8

29 marzo 2018

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata "highly critical" nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto

Drupal annuncia il rilascio di aggiornamenti critici per il 28 marzo

23 marzo 2018

Il team di sicurezza di Drupal ha annunciato in una nota di servizio il prossimo rilascio di aggiornamenti che risolveranno una vulnerabilità considerata "highly critical" nelle versioni 7.x e 8.x di questo CMS.Leggi tutto