Se
han anunciado dos vulnerabilidades en Joomla! que podrían permitir a atacantes remotos realizar ataques de
cross-site scripting o evitar el mecanismo de autenticación.
Joomla es un popular gestor de
contenidos en código abierto, que cuenta con una gran cantidad de plantillas y
componentes que un usuario puedo utilizar para implementar de manera rápida una
aplicación web. Estos componentes son programados por todo tipo de
desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de
contenidos en un objetivo muy popular para que los atacantes.
El primero de los problemas
reside en que determinadas entradas en el componente "com_media" no
se limpian adecuadamente antes de mostrarse al usuario. Esto podría
permitir la realización de ataques de cross-site scripting con lo que el
atacante podría acceder a las cookies (incluyendo las de autenticación) y a
información recientemente enviada, además de poder realizar acciones en el
sitio haciéndose pasar por la víctima.
Por otra parte un error al tratar la autenticación a través de
LDAP podría permitir evitar el mecanismo de autenticación.
Estas vulnerabilidades se dan en
las versiones anteriores a la 3.2.5 y a la 3.3.4. Se ha solucionado en las versiones
3.2.5 y a la 3.3.4 disponibles desde www.joomla.org
Más información:
[20140902] - Core - Unauthorised
Logins
[20140901] - Core - XSS
Vulnerability
Antonio Ropero
Twitter: @aropero
joomla es el mejor gestor de contenidos para realizar proyectos web.
ResponderEliminar