CSIRT Panamá Aviso 2020-06-4 Joomla: Actualización de seguridad de Joomla 3.9.19.

TOPICS:

Posted By: CSIRT Panamá June 4, 2020

CSIRT Panamá Aviso 2020-06-4 Joomla: Actualización de seguridad de Joomla 3.9.19.

Gravedad:Media                                                                                                              Vulnerabilidad: CVE-2020-11022 / CVE-2020-11023 / CVE-2020-13763 / CVE-2020-13762                                                                                                                Fecha de publicación: Junio 4, 2020
Última revisión: Junio 4, 2020
Portal: https://www.joomla.org/

Sistemas Afectados:
Vulnerabilidades en la plataforma de joomla que afecta a sus productos, desde las versiones:

  • 2.5.0 hasta la 3.9.18
  • 3.0.0 hasta la 3.9.18
  1. Descripción

Actualización de seguridad que afecta a la plataforma de joomla, la nueva versión soluciona 5 vulnerabilidades que afectan a su núcleo, una vulnerabilidad de criticidad media y cuatro de criticidad baja, del tipo Cross-site scripting (XSS), Cross-site request forgery (CSRF) y fallo en las configuraciones por defecto.

  1. Impacto

La vulnerabilidad de criticidad media afecta a los métodos de manipulación del DOM de jQuery, pudiendo permitir un ataque XSS. Se han asignado los identificadores CVE-2020-11022 y CVE-2020-11023 para esta vulnerabilidad.

Las vulnerabilidades de severidad baja están descritas a continuación:

  • Una falta de validación de parámetros de entrada en la opción de los encabezados de las etiquetas de los módulos “Articles – Newsflash” y “Articles – Categories”, permitirían realizar ataques XSS. Se ha asignado el identificador CVE-2020-13761 para esta vulnerabilidad
  • Los parámetros por defecto de la configuración global de “textfilter” no bloquean entradas HTML de los usuarios invitados (“Guest”). Se ha asignado el CVE-2020-13763 para esta vulnerabilidad
  • Una incorrecta validación de entrada en la etiqueta opción del módulo com_modules podría permitir ataques XSS. Se ha asignado el identificador CVE-2020-13762 para esta vulnerabilidad.
  • Una falta de comprobación de los tokens en com_postinstall podría permitir un ataque del tipo CSRF. Se ha asignado el identificador CVE-2020-13760 para esta vulnerabilidad.

III. Referencia a soluciones, herramientas e información

Aplicar la actualización a la nueva versión joomla 3.9.19 (https://www.joomla.org/announcements/release-news/5812-joomla-3-9-19.html).

Fuentes:

  • Instituto Nacional de Ciberseguridad (INCIBE). 3 de junio del 2020. Vulnerabilidades. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/actualizacion-seguridad-joomla-3919

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124