Joomla Security News

Список известных уязвимостей Joomla, которые можно устранить.
Машинный перевод этой страницы на русский язык

[20191002] - Core - Path Disclosure in phpuft8 mapping files

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействия: Низкая
  • Уровень Опасности: Низкий
  • Версии: 3.6.0 - 3.9.12
  • Использовать тип: пути раскрытия
  • Дата Сообщения: 2019-Ноябрь-01
  • Фиксированные Даты: 2019-Ноября-05
  • Уязвимость CVE количество: уязвимость CVE-2019-18674

Описание

Отсутствует проверить доступ в phputf8 файлов сопоставление может привести к раскрытию пути.

Пострадавших Устанавливается

На Joomla! CMS версии 3.6.0 - 3.9.12

Решение

Обновление до версии 3.9.13


[20191001] - Core - CSRF in com_template overrides view

  • Проект На Joomla!
  • Подпроект: КМВ
  • Влияние: Высокая
  • Уровень Опасности: Низкий
  • Версии: 3.2.0-3.9.12
  • Использовать тип: CSRF атак
  • Дата: 2019-Октябрь-10
  • Фиксированные Даты: 2019-Ноября-05
  • Уязвимость CVE количество: уязвимость CVE-2019-18650

Описание

Отсутствует проверить маркер в com_template вызывает уязвимость CSRF атак.

Пострадавших Устанавливается

На Joomla! Версий CMS 3.2.0 - 3.9.12

Решение

Обновление до версии 3.9.13


[20190901] - Core - XSS in logo parameter of default templates

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействие: Умеренная
  • Уровень Опасности: Низкий
  • Версии: 3.0.0-3.9.11
  • Использовать тип: межсайтовый скриптинг
  • Дата Сообщения: 2019-Август-28
  • Фиксированные Даты: 2019-Сентябрь-24
  • Уязвимость CVE количество: уязвимость CVE-2019-16725

Описание

Недостаточное экранирование допускается XSS-атак с помощью параметра логотип шаблонов по умолчанию.

Пострадавших Устанавливается

На Joomla! CMS версии 3.0.0 - 3.9.11

Решение

Обновление до версии 3.9.12


[20190801] - Core - Hardening com_contact contact form

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействие: Умеренная
  • Уровень Опасности: Низкий
  • Версий: 1.6.2 - 3.9.10
  • Использовать тип: ошибочные контроля доступа
  • Отчетную Дату: 2019-Апрель-09
  • Фиксированные Даты: 2019-Август-13
  • Уязвимость CVE количество: уязвимость CVE-2019-15028

Описание

Недостаточные проверки в com_contact мог допускается отправки почты в форм-инвалидов.

Пострадавших Устанавливается

На Joomla! CMS версии 1.6.2 - 3.9.10

Решение

Обновление до версии 3.9.11


[20190701] - Core - Filter attribute in subform fields allows remote code execution

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействие: Умеренная
  • Уровень Опасности: Низкий
  • Версии: 3.9.7 - 3.9.8
  • Использовать тип: удаленное выполнение кода
  • Дата Сообщения: 2019-Июнь-20
  • Фиксированные Даты: 2019-Июль-09
  • Уязвимость CVE количество: уязвимость CVE-2019-14654

Описание

Недостаточную фильтрацию позволяет пользователям разрешено создавать пользовательские поля, чтобы манипулировать параметрами фильтрации и придать непроверенный вариант.

Пострадавших Устанавливается

На Joomla! CMS версии 3.9.7 - 3.9.8

Решение

Обновление до версии 3.9.9


[20190603] - Core - ACL hardening of com_joomlaupdate

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействия: Низкая
  • Уровень Опасности: Низкий
  • Версии: 3.8.13 через 3.9.6
  • Использовать тип: ошибочные контроля доступа
  • Дата Сообщения: 2019-Апрель-10
  • Фиксированные Даты: 2019-Июнь-11
  • Уязвимость CVE количество: уязвимость CVE-2019-12764

Описание

Обновление сервера URL-адрес com_joomlaupdate можно манипулировать не супер-администратора пользователей.

Пострадавших Устанавливается

На Joomla! CMS версии 3.8.13 через 3.9.6

Решение

Обновление до версии 3.9.7


[20190602] - Core - XSS in subform field

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействие: Умеренная
  • Уровень Опасности: Низкий
  • Версии: 3.6.0 через 3.9.6
  • Использовать тип: межсайтовый скриптинг
  • Дата Сообщения: 2019-Январь-01
  • Фиксированные Даты: 2019-Июнь-11
  • Уязвимость CVE количество: уязвимость CVE-2019-12766

Описание

В подчиненной форме атрибута fieldtype не достаточно фильтра или проверки входных данных на подобласти, это приводит к XSS атак.

Пострадавших Устанавливается

На Joomla! CMS версии 3.6.0 через 3.9.6

Решение

Обновление до версии 3.9.7


[20190601] - Core - CSV injection in com_actionlogs

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействия: Низкая
  • Уровень Опасности: Низкий
  • Версии: 3.9.0 через 3.9.6
  • Использовать тип: КШМ инъекции
  • Дата Сообщения: 2019-Апрель-29
  • Фиксированные Даты: 2019-Июнь-11
  • Уязвимость CVE количество: уязвимость CVE-2019-12765

Описание

Экспорт в CSV com_actionslogs уязвим в CSV инъекции.

Пострадавших Устанавливается

На Joomla! CMS версии 3.9.0 через 3.9.6

Решение

Обновление до версии 3.9.7


[20190502] - Core - By-passing protection of Phar Stream Wrapper Interceptor

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействия: Низкая
  • Уровень Опасности: Низкий
  • Версии: 3.9.3 через 3.9.5
  • Использовать тип: объект впрыска
  • Дата: 2019-Марта-27
  • Фиксированные Даты: 2019-Май-07

Описание

В Joomla 3.9.3, уязвимость небезопасная десериализация при выполнении архивы phar выступил извлекать известный вектор атаки в ядро Joomla. Для того, чтобы перехватывать вызовы файл, как file_exists или стат на взломанных архивов phar имя базы должно быть установлено и проверено, прежде чем разрешить должны обрабатываться с помощью PHP обработка фар трансляция. Однако реализация уязвим к обходу путь, ведущий к сценариям, где архив phar следует оценивать не сам файл (нарушена).

Пострадавших Устанавливается

На Joomla! CMS версии 3.9.3 через 3.9.5

Решение

Обновление до версии 3.9.6


[20190501] - Core - XSS in com_users ACL debug views

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействие: Умеренная
  • Уровень Опасности: Низкий
  • Версии: 1.7.0 через 3.9.5
  • Использовать тип: межсайтовый скриптинг
  • Дата Сообщения: 2019-Апрель-29
  • Фиксированные Даты: 2019-Май-07
  • Уязвимость CVE количество: уязвимость CVE-2019-11809

Описание

Мнения отладки com_users не должным образом защитить данные пользователей, что приводит к потенциальной уязвимости XSS атаки.

Пострадавших Устанавливается

На Joomla! CMS версии 1.7.0 через 3.9.5

Решение

Обновление до версии 3.9.6