9VSA21-00362-01 CSIRT comparte vulnerabilidades entregadas por Joomla
CSIRT comparte la información entregada por Joomla sobre tres vulnerabilidades que afectan al gestor de contenidos.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por Joomla sobre tres vulnerabilidades que afectan al gestor de contenidos.
Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.
Vulnerabilidades
CVE-2021-23123
CVE-2021-23124
CVE-2021-23125
Impacto
La falta de chequeos en la lista de control de acceso (ACL) en el endpoint “orderPosition” de “com_modules” expone nombres de módulos sin publicar o inaccesibles.
Productos afectados
Joomla! CMS desde la versión 3.0.0 hasta la 3.9.23.
Mitigación
La versión 3.9.24 mitiga la vulnerabilidad.
Enlaces
https://developer.joomla.org/security-centre/836-20210101-core-com-modules-exposes-module-names.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23123
Impacto
La falta de sanitización de datos en el atributo “aria-label” en “mod_breadcrumbs” permitiría a un atacante realizar ataques Cross-site Scripting (XSS).
Productos afectados
Joomla! CMS desde la versión 3.9.0 hasta la 3.9.23.
Mitigación
La versión 3.9.24 mitiga la vulnerabilidad.
Enlaces
https://developer.joomla.org/security-centre/837-20210102-core-xss-in-mod-breadcrumbs-aria-label-attribute.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23124
Impacto
La falta de sanitización en parámetros relacionados a imágenes en múltiples vistas “com_tags” permitiría vectores de ataques Cross-site Scripting (XSS).
Productos afectados
Joomla! CMS desde la versión 3.1.0 hasta la 3.9.23.
Mitigación
La versión 3.9.24 mitiga la vulnerabilidad.
Enlaces
https://developer.joomla.org/security-centre/838-20210103-core-xss-in-com-tags-image-parameters.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23125
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00362-01