9VSA20-00186-01 CSIRT comparte acutualizaciones de Joomla para su gestor de contenidos
CSIRT comparte la información entregada por Joomla referente a vulnerabilidades que afectan al gestor de contenidos
RESUMEN
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por Joomla referente a vulnerabilidades que afectan al gestor de contenidos. El presente informe incluye la respectiva medida de mitigación.
VULNERABILIDADES
CVE-2020-11889
Debido a un inapropiado control en la sección de nivel de acceso en “com_users”, un atacante remoto podría evadir las medidas de seguridad implementadas y eliminar grupos de usuarios.
Productos Afectados
Joomla! versiones:
Desde la 2.5.0 hasta la 2.5.28.
Desde la 3.0.0 hasta la 3.0.4.
Desde la 3.1.0 hasta la 3.1.6.
Desde la 3.2.0 hasta la 3.2.7.
Desde la 3.3.0 hasta la 3.3.6.
Desde la 3.4.0 hasta la 3.4.8.
Desde la 3.5.0 hasta la 3.5.9.
Desde la 3.6.0 hasta la 3.6.5.
Desde la 3.7.0 hasta la 3.7.5.
Desde la 3.8.0 hasta la 3.8.13.
Desde la 3.9.0 hasta la 3.9.16.
Mitigación
Actualizar a la versión 3.9.17 de Joomla!.
Enlaces
https://developer.joomla.org/security-centre/809-20200401-core-incorrect-access-control-in-com-users-access-level-editing-function.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11889
CVE-2020-11890
Debido a una insuficiente validación de datos ingresados por el usuario en la clase de grupos de usuarios, un atacante remoto podría entregarle datos especialmente diseñados a la aplicación para corromper la configuración de la lista de control de acceso.
Productos Afectados
Joomla! desde la versión 3.8.8 hasta la 3.8.13 y desde la versión 3.9.0 hasta la 3.9.16.
Mitigación
Actualizar a la versión 3.9.17 de Joomla!.
Enlaces
https://developer.joomla.org/security-centre/810-20200402-core-missing-checks-for-the-root-usergroup-in-usergroup-table.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11890
CVE-2020-11891
Debido a un inapropiado control en la sección de nivel de acceso en “com_users”, un atacante remoto podría evadir las medidas de seguridad implementadas y editar grupos de usuarios.
Productos Afectados
Joomla! versiones:
Desde la 2.5.0 hasta la 2.5.28.
Desde la 3.0.0 hasta la 3.0.4.
Desde la 3.1.0 hasta la 3.1.6.
Desde la 3.2.0 hasta la 3.2.7.
Desde la 3.3.0 hasta la 3.3.6.
Desde la 3.4.0 hasta la 3.4.8.
Desde la 3.5.0 hasta la 3.5.9.
Desde la 3.6.0 hasta la 3.6.5.
Desde la 3.7.0 hasta la 3.7.5.
Desde la 3.8.0 hasta la 3.8.13.
Desde la 3.9.0 hasta la 3.9.16.
Mitigación
Actualizar a la versión 3.9.17 de Joomla!.
Enlaces
https://developer.joomla.org/security-centre/811-20200403-core-incorrect-access-control-in-com-users-access-level-deletion-function
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11891
INFORME
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00186-01