Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte diverse vulnerabilità in Joomla! 3.8.13

CMS  Joomla!  remote code execution   giovedì, 11 ottobre 2018

Vulnerabilità di Joomla!Lo scorso 9 ottobre il Joomla! Project ha rilasciato la versione 3.8.13 del suo CMS che risolve 5 vulnerabilità di bassa gravità nel codice “core” dell’applicazione. Se sfruttate con successo, queste vulnerabilità possono consentire l’esecuzione di codice arbitrario o l’aggiramento di misure di sicurezza.

Dettagli delle vulnerabilità (in Inglese):

  • [Low] Added additional CSRF hardening in com_installer actions in the backend (CVE-2018-17858)
  • [Low] In case that an attacker gets access to the mail account of an user who can approve admin verifications in the registration process he can activate himself (CVE-2018-17855)
  • [Low] Inadequate checks on the tags search fields can lead to an access level violation (CVE-2018-17857)
  • [Low] Joomla’s com_joomlaupdate allows the execution of arbitrary code. The default ACL[/acl] config enabled access of Administrator-level users to access com_joomlaupdate and trigger a code execution (CVE-2018-17857)
  • [Low] Inadequate checks in com_contact could allowed mail submission in disabled forms (CVE-2018-17859)

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare al più presto la propria piattaforma.

Per maggiori dettagli sui problemi di sicurezza risolti in Joomla! 3.8.13 è possibile consultare i relativi bollettini sul sito Joomla! Developer Network (in Inglese):

Notizie correlate

Risolte diverse vulnerabilità in Joomla! 3.9.3

14 febbraio 2019

Il Joomla! Project ha rilasciato la versione 3.9.3 del suo CMS che risolve 6 vulnerabilità di bassa gravità nel codice "core" dell'applicazione.Leggi tutto

Vulnerabilità multiple in PHP 7

13 febbraio 2019

Sono state scoperte diverse vulnerabilità in PHP 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto

Aggiornamento di sicurezza Android (febbraio 2019)

6 febbraio 2019

Google ha rilasciato l'aggiornamento di sicurezza di febbraio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto