Actualización para Joomla! por Inyección SQL

Joomla! ha publicado la versión 3.7.1 destinada a corregir una grave vulnerabilidad de inyección SQL en Joomla! 3.7 fácilmente explotable por atacantes sin privilegios.

Si tienes la versión 3.7...
actualiza ¡YA!

Joomla! es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores.

El problema, con CVE-2017-8917, fue anunciado por investigadores de la firma Securi y reside en el componente com_field (introducido en la versión 3.7). Este componente es accesible de forma pública, lo que significa que puede ser aprovechado por cualquier atacante que visite una web afectada.

Dada la naturaleza de los ataques de inyección SQL, son muchas las formas en que el atacante podría emplearlo. Los ejemplos incluyen obtención de hashes de contraseñas o el secuestro de una sesión de usuario iniciada (que puede significar el compromiso del sitio completo si el atacante obtiene una sesión del administrador).

También se han corregido otros problemas no relacionados directamente con fallos de seguridad.

Se ha publicado la versión 3.7.1 disponible desde

Para nuevas instalaciones:

https://downloads.joomla.org/cms/joomla3/3-7-1/joomla_3-7-1-stable-full_package-zip?format=zip

Para actualizaciones:

https://downloads.joomla.org/cms/joomla3/3-7-1

Más información:

SQL Injection Vulnerability in Joomla! 3.7

https://blog.sucuri.net/2017/05/sql-injection-vulnerability-joomla-3-7.html

Joomla! 3.7.1 Release

https://www.joomla.org/announcements/release-news/5705-joomla-3-7-1-release.html

[20170501] - Core - SQL Injection

https://developer.joomla.org/security-centre/692-20170501-core-sql-injection.html

  

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero