Se
han anunciado tres vulnerabilidades en Joomla! que podrían permitir a atacantes
remotos realizar ataques de cross-site scripting y cross-site request forgery o
evitar las ACL.
Joomla es un popular gestor de
contenidos en código abierto, que cuenta con una gran cantidad de plantillas y
componentes que un usuario puedo utilizar para implementar de manera rápida una
aplicación web. Estos componentes son programados por todo tipo de
desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de
contenidos en un objetivo muy popular para que los atacantes.
El primer problema reside en un
filtrado inadecuado de los datos en el componente mail que podría permitir la
realización de ataques de cross-site scripting, por otra parte errores en las
comprobaciones de las listas de control de acceso (ACLs) en 'com_content'
podrán permitir acceso de lectura a datos restringidos a usuarios con nivel edit_own.
Estos dos problemas afectan a las versiones 1.6.0 hasta la 3.6.0. Por último,
en Joomla! CMS 3.6.0 se ha mejorado la protección contra ataques de cross-site
request forgery en com_joomlaupdate.
Se ha publicado la versión 3.6.1
disponible desde www.joomla.org
Más información:
Security Centre
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario