Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte diverse vulnerabilità in Joomla! 3.8.13

CMS  Joomla!  remote code execution   giovedì, 11 ottobre 2018

Vulnerabilità di Joomla!Lo scorso 9 ottobre il Joomla! Project ha rilasciato la versione 3.8.13 del suo CMS che risolve 5 vulnerabilità di bassa gravità nel codice “core” dell’applicazione. Se sfruttate con successo, queste vulnerabilità possono consentire l’esecuzione di codice arbitrario o l’aggiramento di misure di sicurezza.

Dettagli delle vulnerabilità (in Inglese):

  • [Low] Added additional CSRF hardening in com_installer actions in the backend (CVE-2018-17858)
  • [Low] In case that an attacker gets access to the mail account of an user who can approve admin verifications in the registration process he can activate himself (CVE-2018-17855)
  • [Low] Inadequate checks on the tags search fields can lead to an access level violation (CVE-2018-17857)
  • [Low] Joomla’s com_joomlaupdate allows the execution of arbitrary code. The default ACL[/acl] config enabled access of Administrator-level users to access com_joomlaupdate and trigger a code execution (CVE-2018-17857)
  • [Low] Inadequate checks in com_contact could allowed mail submission in disabled forms (CVE-2018-17859)

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare al più presto la propria piattaforma.

Per maggiori dettagli sui problemi di sicurezza risolti in Joomla! 3.8.13 è possibile consultare i relativi bollettini sul sito Joomla! Developer Network (in Inglese):

Notizie correlate

Aggiornamento di sicurezza critico per Drupal 7 e 8

13 maggio 2019

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata "moderately critical" nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto

Risolta vulnerabilità di tipo XSS in Joomla! 3.9.6

8 maggio 2019

Il Joomla! Project ha rilasciato la versione 3.9.6 del suo CMS che risolve una vulnerabilità di tipo cross-site scripting nel codice "core" dell'applicazione.Leggi tutto

Aggiornamento di sicurezza Android (maggio 2019)

7 maggio 2019

Google ha rilasciato l'aggiornamento di sicurezza di maggio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto