Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte diverse vulnerabilità in Joomla! 3.8.13

CMS  Joomla!  remote code execution   giovedì, 11 ottobre 2018

Vulnerabilità di Joomla!Lo scorso 9 ottobre il Joomla! Project ha rilasciato la versione 3.8.13 del suo CMS che risolve 5 vulnerabilità di bassa gravità nel codice “core” dell’applicazione. Se sfruttate con successo, queste vulnerabilità possono consentire l’esecuzione di codice arbitrario o l’aggiramento di misure di sicurezza.

Dettagli delle vulnerabilità (in Inglese):

  • [Low] Added additional CSRF hardening in com_installer actions in the backend (CVE-2018-17858)
  • [Low] In case that an attacker gets access to the mail account of an user who can approve admin verifications in the registration process he can activate himself (CVE-2018-17855)
  • [Low] Inadequate checks on the tags search fields can lead to an access level violation (CVE-2018-17857)
  • [Low] Joomla’s com_joomlaupdate allows the execution of arbitrary code. The default ACL[/acl] config enabled access of Administrator-level users to access com_joomlaupdate and trigger a code execution (CVE-2018-17857)
  • [Low] Inadequate checks in com_contact could allowed mail submission in disabled forms (CVE-2018-17859)

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare al più presto la propria piattaforma.

Per maggiori dettagli sui problemi di sicurezza risolti in Joomla! 3.8.13 è possibile consultare i relativi bollettini sul sito Joomla! Developer Network (in Inglese):

Notizie correlate

Risolte sette vulnerabilità in WordPress 5.0.1

13 dicembre 2018

È stato rilasciato un aggiornamento di sicurezza che risolve sette vulnerabilità del noto CMS WordPress, presenti in tutte le versioni a partire dalla 3.7 fino alla 5.0.Leggi tutto

Vulnerabilità multiple in PHP

10 dicembre 2018

Sono state scoperte diverse vulnerabilità in PHP 5 e 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto

Adobe risolve vulnerabilità critica 0-day in Adobe Flash Player

6 dicembre 2018

Adobe ha rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità critica zero-day in Flash Player e una vulnerabilità di gravità elevata nell'installer di Flash Player.Leggi tutto