19 diciembre, 2019

9VSA-00103-001 CSIRT comparte actualizaciones para Joomla

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte información entregada por Joomla referente a vulnerabilidades que afectan a su gestor de contenidos Joomla!, esto junto a sus respectivas mitigaciones.

 

Vulnerabilidades

CVE-2019-19845

CVE-2019-19846

 

Impacto

CVE-2019-19845: Exposición de información

Esta vulnerabilidad permitiría a un atacante remoto acceder a información potencialmente sensible debido al exceso de información entregado en las alertas de error, permitiendo a un atacante sin autenticación acceder a información como la ruta completa de la aplicación web.

 

Productos Afectados

Las versiones desde la 3.8.0 hasta la 3.9.13 de Joomla! son vulnerables.

 

Mitigación

Actualizar a la versión 3.9.14 de Joomla!

 

Enlaces

https://developer.joomla.org/security-centre/796-20191201-core-path-disclosure-in-framework-files.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19845

 

 Impacto

CVE-2019-19846: Inyección SQL

Esta vulnerabilidad permitiría a un atacante remoto ejecutar consultas SQL arbitrarias a la base de datos debido a la insuficiente sanitización de los datos entregados por el usuario. Una explotación exitosa podría permitir al atacante leer, modificar, agregar y eliminar datos en la base de datos y obtener control completo sobre la aplicación.

 

Productos Afectados

Las versiones desde la 2.5.0 hasta la 3.9.13 de Joomla! son vulnerables.

 

Mitigación

Actualizar a la versión 3.9.14 de Joomla!

 

Enlaces

https://developer.joomla.org/security-centre/797-20191202-core-various-sql-injections-through-configuration-parameters.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19846

 

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA-00103-001