Cabecera-v2-web.jpg

Vulnerabilidad 0-day crí­tica en Joomla!


Se ha anunciado una vulnerabilidad crí­tica en Joomla! que permite a atacantes remotos la ejecución de código arbitrario.

Joomla es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puede utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de contenidos en un objetivo muy popular para los atacantes.

Según se ha confirmado el problema parece que está siendo explotado de forma activa en los últimos dí­as. Afecta a las versiones de Joomla desde la 1.5 a las 3.4.5, reside en el filtrado inadecuado de la información del "user agent" al guardar los valores de la sesión en la base de datos, lo que podrí­a permitir la ejecución de código arbitrario. Se le ha asignado el CVE-2015-8562.

Joomla ha publicado la versión 3.4.6 destinada a solucionar esta vulnerabilidad, junto a otras tres de menos gravedad. Las otras tres vulnerabilidades consisten en un Cross-Site Request Forgery (CSRF) en com_templates (CVE-2015-8563) y dos escaladas de directorios (CVE-2015-8564 y CVE-2015-8565). Esta nueva versión también incluye una mejora del sistema de reasignación de la contraseña de usuario.

Un sí­ntoma de la consideración de la gravedad del problema es que se han publicado actualizaciones para corregir la vulnerabilidad en versiones (1.5.x y 2.5.x) fuera del ciclo de soporte. Aunque se recomienda la actualización a la versión 3.4.6, en caso de usar alguna de estas versiones antiguas, se recomienda la aplicación de las actualizaciones disponibles desde: https://docs.joomla.org/Security_hotfixes_for_Joomla_EOL_versions

Se ha publicado la versión 3.4.6 disponible desde: https://www.joomla.org/announcements/release-news/5641-joomla-3-4-6-released.html


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11