Gravedad: Media Fecha de publicación: Septiembre 9, 2020
Última revisión: Septiembre 9, 2020
Portal: https://www.joomla.org/
Sistemas Afectados: Diversas afectaciones en el gestor de contenido Joomla en distintas versiones desde el 2.5.0– 3.9.20.
I. Descripción
Mitigación para 3 vulnerabilidades que afectan al gestor de contenidos Joomla.
II. Impacto
Vulnerabilidad: CVE-2020-24599
La falta de escape de datos ingresados por un usuario en “mod_latestactions” permitiría a un atacante realizar ataques XSS (Cross-site Scripting).
Productos Afectados: Versiones 3.9.0 – 3.9.20.
Vulnerabilidad: CVE-2020-24598
La falta de escape de datos ingresados por un usuario en “com_content” permitiría a un atacante realizar un ataque Open-Redirect a una víctima, haciéndola caer en un posible ataque Phishing.
Productos Afectados: Versiones 3.0.0 – 3.9.20.
Vulnerabilidad: CVE-2020-24597
La falta de validación de datos ingresados por un usuario permite la exposición de la ruta a la raíz de “com_media” fuera del “webroot” (raíz del servidor web).
Productos Afectados: Versiones 2.5.0 – 3.9.20.
III. Referencia a soluciones, herramientas e información
Se recomienda actualizar el gestor de contenido Joomla a la versión 3.9.21, mediante su sitio oficial (https://downloads.joomla.org/).
Fuentes:
1. Joomla. Recopilado en: https://developer.joomla.org/security-centre/824-20200801-core-xss-in-mod-latestactions.html
2. Joomla. Recopilado en: https://developer.joomla.org/security-centre/825-20200802-core-open-redirect-in-com-content-vote-feature.html
3. Joomla. Recopilado en: https://developer.joomla.org/security-centre/827-20200803-core-directory-traversal-in-com-media.html
4. CSIRT Chile. 7 de septiembre del 2020. Vulnerabilidades. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa20-00295-01/
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124