Cabecera-v2-web.jpg

Vulnerabilidades de riesgo moderado en Joomla!


Joomla! CMS (por las siglas en inglés, Content Management System) es un sistema de gestión de contenidos que permite desarrollar sitios web dinámicos e interactivos, facilitando la creación, modificación y eliminación del contenido de un sitio web a través de un panel de administración.

Se descubrió que en sus versiones anteriores a la 3.9.15 se ven afectados por vulnerabilidades, identificadas como:

La vulnerabilidad CVE-2020-8421, con XSS, tiene una falla que afecta al componente “com_actionlogs” y se da debido al escape inadecuado de los nombres de usuarios. Esta vulnerabilidad, permitiría un ataque XSS, con lo que se lograría manipular el navegador web de la víctima, cambiar la apariencia del sitio o redirigir a la víctima a sitios que contienen malware, entre otros.

Una de las vulnerabilidades con CSRF, CVE-2020-8420 se da en el componente “com_templates” y es debido a la falta de comprobación del token de ataques de tipo CSRF dentro del compilador LESS, por otro lado el CVE-2020-8419, se da debido a una validación insuficiente del origen de la solicitud HTTP en las acciones por lotes.

Estos tipos de ataques permitirían a un atacante diseñar solicitudes maliciosas y engañar a la víctima enviando esta solicitud, para que al momento de ejecutarla se inyecte en el sitio el código malicioso que pudiera contener la solicitud diseñada por el atacante. En otras palabras la explotación exitosa de esta vulnerabilidad permitiría la ejecución de código remoto en el sitio de la víctima.

Recomendaciones:

  • Actualizar Joomla! a la versión 3.9.15, disponibles en el sitio web oficial.
  • Instalar un WAF (Web Application Firewall) que filtre las peticiones HTTP que contengan código malicioso.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11