Joomla Security News

Список известных уязвимостей Joomla, которые можно устранить.
Машинный перевод этой страницы на русский язык

[20200605] - Core - CSRF in com_postinstall

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействия: Низкая
  • Уровень Опасности: Низкий
  • Версии: 3.7.0-3.9.18
  • Использовать тип: CSRF атак
  • Отчетную Дату: 2020-Май-08
  • Фиксированные Даты: 2020-Июнь-02
  • Уязвимость CVE количество: уязвимость CVE-2020-13760

Описание

Отсутствует проверка токена в com_postinstall причиной уязвимости CSRF атак.

Пострадавших Устанавливается

На Joomla! CMS версии 3.7.0 - 3.9.18

Решение

Обновление до версии 3.9.19


[20200604] - Core - XSS in jQuery.htmlPrefilter

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействия: Низкая
  • Степень Тяжести: Умеренная
  • Версии: 3.0.0-3.9.18
  • Использовать тип: межсайтовый скриптинг
  • Отчетную Дату: 2020-Апрель-10
  • Фиксированные Даты: 2020-Июнь-02
  • Уязвимость CVE количество: уязвимость CVE-2020-11022 и уязвимости CVE-2020-11023

Описание

Выпущен проект jQuery версии 3.5.0, и как часть этого, раскрыты две уязвимости безопасности, которые затрагивают все предыдущие версии. Как уже упоминалось в блоге на jQuery, как "[...] вопросам безопасности в методы манипуляции в jQuery DOM, как и в .HTML-код(), .функции append(), и другие".

Проект Drupal имеет перенесено соответствующих исправлений в jQuery 1.х и joomla принял этот патч.

Пострадавших Устанавливается

На Joomla! CMS версии 3.0.0 - 3.9.18

Решение

Обновление до версии 3.9.19


[20200603] - Core - XSS in com_modules tag options

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействие: Умеренная
  • Уровень Опасности: Низкий
  • Версии: 3.0.0-3.9.18
  • Использовать тип: межсайтовый скриптинг
  • Отчетную Дату: 2020-Май-06
  • Фиксированные Даты: 2020-Июнь-02
  • Уязвимость CVE количество: уязвимость CVE-2020-13762

Описание

Некорректной проверки входных данных параметр тега модуль в com_modules разрешить XSS-атак.

Пострадавших Устанавливается

На Joomla! CMS версии 3.0.0 - 3.9.18

Решение

Обновление до версии 3.9.19


[20200602] - Core - Inconsistent default textfilter settings

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействия: Низкая
  • Уровень Опасности: Низкий
  • Версии: 2.5.0-3.9.18
  • Использовать тип: небезопасные разрешения
  • Отчетную Дату: 2020-Апрель-23
  • Фиксированные Даты: 2020-Июнь-02
  • Уязвимость CVE количество: уязвимость CVE-2020-13763

Описание

Настройки по умолчанию глобального "textfilter" конфигурации не HTML блока входы для пользователей "гость". С 3.9.19, в textfilter для новых установок имеет значение 'Нет HTML' для общественных групп', 'оценки' и 'зарегистрированы'.

Пострадавших Устанавливается

На Joomla! CMS версии 2.5.0 - 3.9.18

Решение

Обновление до версии 3.9.19


[20200601] - Core - XSS in modules heading tag option

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействие: Умеренная
  • Уровень Опасности: Низкий
  • Версии: 3.0.0-3.9.18
  • Использовать тип: межсайтовый скриптинг
  • Отчетную Дату: 2020-Май-06
  • Фиксированные Даты: 2020-Июнь-02
  • Уязвимость CVE количество: уязвимость CVE-2020-13761

Описание

Отсутствие проверки входных данных в параметре заголовок тег "статьи – новости" и "статьи - Категории" модули позволяют XSS-атак.

Пострадавших Устанавливается

На Joomla! CMS версии 3.0.0 - 3.9.18

Решение

Обновление до версии 3.9.19


[20200403] - Core - Incorrect access control in com_users access level deletion function

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействие: Умеренная
  • Уровень Опасности: Низкий
  • Версии: 2.5.0 - 3.9.16
  • Использовать тип: ошибочные контроля доступа
  • Отчетную Дату: 2020-Март-13
  • Фиксированные Даты: 2020-Апрель-21
  • Уязвимость CVE количество: уязвимость CVE-2020-11889

Описание

Некорректно проверяет ACL в разделе уровень доступа com_users допустить несанкционированное удаление из группы.

Пострадавших Устанавливается

На Joomla! CMS версии 2.5.0 - 3.9.16

Решение

Обновление до версии 3.9.17


[20200402] - Core - Missing checks for the root usergroup in usergroup table

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействие: Умеренная
  • Уровень Опасности: Низкий
  • Версии: 2.5.0 - 3.9.16
  • Использовать тип: ошибочные контроля доступа
  • Отчетную Дату: 2020-Февраль-27
  • Фиксированные Даты: 2020-Апрель-21
  • Уязвимость CVE количество: уязвимость CVE-2020-11890

Описание

Ввод неудобном проверки в классе группы таблица может привести к сломанной конфигурации ACL.

Пострадавших Устанавливается

На Joomla! CMS версии 2.5.0 - 3.9.16

Решение

Обновление до версии 3.9.17


[20200401] - Core - Incorrect access control in com_users access level editing function

  • Проект На Joomla!
  • Подпроект: КМВ
  • Воздействия: Низкая
  • Уровень Опасности: Низкий
  • Версии: 3.8.8 - 3.9.16
  • Использовать тип: ошибочные контроля доступа
  • Отчетную Дату: 2020-Март-13
  • Фиксированные Даты: 2020-Апрель-21
  • Уязвимость CVE количество: уязвимость CVE-2020-11891

Описание

Некорректно проверяет ACL в разделе уровень доступа com_users допустить несанкционированное редактирование группы пользователей.

Пострадавших Устанавливается

На Joomla! CMS версии 3.8.8 - 3.9.16

Решение

Обновление до версии 3.9.17


[20200306] - Core - SQL injection in Featured Articles menu parameters

  • Проект На Joomla!
  • Подпроект: КМВ
  • Влияние: Высокая
  • Уровень Опасности: Низкий
  • Версии: 1.7.0-3.9.15
  • Использовать тип: SQL-инъекции
  • Отчетную Дату: 2020-Март-9
  • Фиксированные Даты: 2020-Март-10
  • Уязвимость CVE количество: уязвимость CVE-2020-10243

Описание

Отсутствие явного приведения типа переменной в SQL-оператор ведет к уязвимости SQL-инъекций в "избранные статьи" menutype фронтэнда.

Пострадавших Устанавливается

На Joomla! CMS версии 1.7.0 - 3.9.15

Решение

Обновление до версии 3.9.16


[20200304] - Core - Identifier collisions in com_users

  • Проект На Joomla!
  • Подпроект: КМВ
  • Влияние: Высокая
  • Уровень Опасности: Низкий
  • Версии: 3.0.0-3.9.15
  • Использовать тип: другие
  • Отчетную Дату: 2020-Февраль-07
  • Фиксированные Даты: 2020-Март-10
  • Уязвимость CVE количество: уязвимость CVE-2020-10240

Описание

Отсутствует продолжительность проверки в таблице пользователей может привести к созданию пользователей с одинаковыми именами пользователей и/или адресов электронной почты.

Пострадавших Устанавливается

На Joomla! CMS версии 3.0.0 - 3.9.15

Решение

Обновление до версии 3.9.16