Joomla! ha publicado la versión 3.7.3
destinada a corregir tres nuevas vulnerabilidades de gravedad alta que podrían
permitir a atacantes remotos conseguir información sensible y la realización de
ataques de cross-site scripting.
Joomla es un popular gestor de
contenidos en código abierto, que cuenta con una gran cantidad de plantillas y
componentes que un usuario puedo utilizar para implementar de manera rápida una
aplicación web. Estos componentes son programados por todo tipo de
desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de
contenidos en un objetivo muy popular para que los atacantes.
El primer problema, con CVE-2017-9933,
se debe a una validación incorrecta de la caché que da lugar a la divulgación
del contenido de formularios. Por otra parte, con CVE-2017-9934, un cross-site
scripting por la ausencia de comprobaciones del token CSRF y una validación
incorrecta de entradas. Por último, con CVE-2017-7985, cross-site scriptings en
varios componentes por el filtrado inadecuado de caracteres multibyte.
También se han corregido más de 230
problemas no relacionados de forma directa con la seguridad.
Recomendación
Publicada la versión 3.7.3 disponible
desde:
1. Para nuevas
instalaciones, https://downloads.joomla.org/cms/joomla3/3-7-3/Joomla_3.7.3-Stable-Full_Package.zip?format=zip
2. Para actualizaciones,
https://downloads.joomla.org/cms/joomla3/3-7-3
Más información:
• Joomla! 3.7.3
Released https://www.joomla.org/announcements/release-news/5709-joomla-3-7-3-release.html
• Security
Announcements https://developer.joomla.org/security-centre.html
• Core - Information
Disclosure (affecting Joomla 1.7.3-3.7.2) https://developer.joomla.org/security-centre/696-20170601-core-information-disclosure
• Core - XSS
Vulnerability (affecting Joomla 1.7.3-3.7.2) https://developer.joomla.org/security-centre/697-20170602-core-xss-vulnerability
• Core - XSS
Vulnerability (affecting Joomla 1.5.0-3.6.5) https://developer.joomla.org/security-centre/698-20170603-core-xss-vulnerability.html
Fuente: Hispasec