Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte diverse vulnerabilità in Joomla! 3.8.13

CMS  Joomla!  remote code execution   giovedì, 11 ottobre 2018

Vulnerabilità di Joomla!Lo scorso 9 ottobre il Joomla! Project ha rilasciato la versione 3.8.13 del suo CMS che risolve 5 vulnerabilità di bassa gravità nel codice “core” dell’applicazione. Se sfruttate con successo, queste vulnerabilità possono consentire l’esecuzione di codice arbitrario o l’aggiramento di misure di sicurezza.

Dettagli delle vulnerabilità (in Inglese):

  • [Low] Added additional CSRF hardening in com_installer actions in the backend (CVE-2018-17858)
  • [Low] In case that an attacker gets access to the mail account of an user who can approve admin verifications in the registration process he can activate himself (CVE-2018-17855)
  • [Low] Inadequate checks on the tags search fields can lead to an access level violation (CVE-2018-17857)
  • [Low] Joomla’s com_joomlaupdate allows the execution of arbitrary code. The default ACL[/acl] config enabled access of Administrator-level users to access com_joomlaupdate and trigger a code execution (CVE-2018-17857)
  • [Low] Inadequate checks in com_contact could allowed mail submission in disabled forms (CVE-2018-17859)

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare al più presto la propria piattaforma.

Per maggiori dettagli sui problemi di sicurezza risolti in Joomla! 3.8.13 è possibile consultare i relativi bollettini sul sito Joomla! Developer Network (in Inglese):

Notizie correlate

Vulnerabilità critica in libreria per lo streaming usata in media player molto diffusi

22 ottobre 2018

I ricercatori di Cisco Talos ha rivelato l'esistenza di una vulnerabilità critica nel pacchetto software LIVE555 Streaming Media, una collezione di librerie per lo streaming utilizzata in media player come VLC e MPlayer.Leggi tutto

Aggiornamento di sicurezza critico per Drupal 7 e 8

18 ottobre 2018

È stato rilasciato un aggiornamento di sicurezza che risolve diverse vulnerabilità critiche nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto

Disponibile aggiornamento per vulnerabilità “Peekaboo” in NVR NUUO

15 ottobre 2018

È stato recentemente rilasciato dal produttore NUUO un aggiornamento del firmware che risolve due vulnerabilità note, di cui una critica, in sistemi NVR della serie NVRmini 2 e NVRsolo.Leggi tutto