{"id":2284,"date":"2020-07-29T10:51:23","date_gmt":"2020-07-29T15:51:23","guid":{"rendered":"https:\/\/cert.pa\/?p=2284"},"modified":"2020-07-29T10:51:23","modified_gmt":"2020-07-29T15:51:23","slug":"csirt-panama-aviso-2020-07-27-joomla-actualizacion-de-seguridad-para-el-gestor-de-contenido-joomla","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=2284","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2020-07-27 Joomla: Actualizaci\u00f3n de seguridad para el gestor de contenido Joomla."},"content":{"rendered":"\n

CSIRT Panam\u00e1\nAviso 2020-07-27 Joomla: Actualizaci\u00f3n de seguridad para el gestor de contenido\nJoomla. <\/p>\n\n\n\n

Gravedad: Media                                                                                                       <\/p>\n\n\n\n

Fecha de publicaci\u00f3n: Julio 29, 2020
\u00daltima revisi\u00f3n: Julio 28, 2020
Portal: https:\/\/www.joomla.org<\/p>\n\n\n\n

Sistemas Afectados: Diversas versiones del cliente Joomla de acuerdo a cada vulnerabilidad.<\/p>\n\n\n\n

I. Descripci\u00f3n<\/strong><\/p>\n\n\n\n

Actualizaci\u00f3n de seguridad para seis vulnerabilidades que afectan al gestor de contenidos. <\/p>\n\n\n\n

II. Impacto<\/strong><\/p>\n\n\n\n

Vulnerabilidad: CVE-2020-15699<\/p>\n\n\n\n

La ausencia de chequeos de validaci\u00f3n en el objeto\n\u201ctable usergroups\u201d podr\u00eda resultar en una configuraci\u00f3n errada del sitio.<\/p>\n\n\n\n

Productos Afectados: Gestor de contenidos Joomla!\ndesde la versi\u00f3n 2.5.0 hasta la 3.9.19.<\/p>\n\n\n\n

Vulnerabilidad: CVE-2020-15695<\/p>\n\n\n\n

La ausencia del chequeo de token en la secci\u00f3n\n\u201cremove request\u201d de com_privacy permitir\u00eda a un atacante realizar ataques Cross\nSite Request Forgery (peticiones cruzadas entre sitios) en los sitios\nafectados.<\/p>\n\n\n\n

Productos Afectados: Gestor de contenidos Joomla!\ndesde la versi\u00f3n 3.9.0 hasta la 3.9.19.<\/p>\n\n\n\n

Vulnerabilidad: CVE-2020-15697<\/p>\n\n\n\n

Campos internos de solo lectura en la clase \u201cUser\ntable\u201d podr\u00edan ser modificados por usuarios no autorizados.<\/p>\n\n\n\n

Productos Afectados: Gestor de contenidos Joomla!\ndesde la versi\u00f3n 3.9.0 hasta la 3.9.19.<\/p>\n\n\n\n

Vulnerabilidad: CVE-2020-15696<\/p>\n\n\n\n

La falta de filtro de datos ingresados en\nmod_random_image podr\u00eda permitir a un atacante remoto realizar ataques XSS\n(Cross-site scripting) en el sitio afectado.<\/p>\n\n\n\n

Productos Afectados: Gestor de contenidos Joomla!\ndesde la versi\u00f3n 3.0.0 hasta la 3.9.19.<\/p>\n\n\n\n

Vulnerabilidad: CVE-2020-15698<\/p>\n\n\n\n

La adecuada forma de filtrar en la pantalla de\ninformaci\u00f3n de sistema podr\u00eda exponer las credenciales de proxy o redis\n(almac\u00e9n de datos en memoria).<\/p>\n\n\n\n

Productos Afectados: Gestor de contenidos Joomla!\ndesde la versi\u00f3n 3.0.0 hasta la 3.9.19.<\/p>\n\n\n\n

Vulnerabilidad: CWE-352 \u2013 [20200701]<\/p>\n\n\n\n

La ausencia del chequeo de token en el dispositivo\nfinal \u201ccom_installer\u201d de ajax_install permitir\u00eda a un atacante realizar ataques\nCross Site Request Forgery (peticiones cruzadas entre sitios) en los sitios\nafectados.<\/p>\n\n\n\n

Productos Afectados: Gestor de contenidos Joomla!\ndesde la versi\u00f3n 3.7 hasta la 3.9.19.<\/p>\n\n\n\n

III. Referencia a soluciones, herramientas e\ninformaci\u00f3n<\/strong><\/strong><\/p>\n\n\n\n

Se recomienda actualizar el gestor de contenido a\nla versi\u00f3n\n3.9.20 mediante su sitio oficial (https:\/\/downloads.joomla.org\/).<\/p>\n\n\n\n

Fuentes:<\/strong><\/p>\n\n\n\n