Actualización de seguridad de Joomla! 4.1.1 y 3.10.7
[Actualización 31/03/2022] Actualización de seguridad de Joomla! 4.1.1 y 3.10.7
Fecha de publicación:
30/03/2022
Importancia:
4 - Alta
Recursos afectados:
[Actualización 31/03/2022]
Joomla! CMS, versiones:
- desde 2.5.0 hasta 3.10.7;
- desde 4.0.0 hasta 4.1.1.
Descripción:
[Actualización 31/03/2022]
Se han publicado las versiones 4.1.2 y 3.10.8 de Joomla! CMS para corregir 9 vulnerabilidades de seguridad en el core.
Solución:
[Actualización 31/03/2022]
Se recomienda no actualizar a la versiones 3.10.7 ni 4.1.1, ya que, en ciertas ocasiones, pueden provocar que aparezca el error: “1054 Unknown column 'authProvider' in 'field list'”, al loguearse en el panel de Joomla!, impidiendo el acceso a este.
Realizar, por tanto, una de las siguientes acciones:
Detalle:
- Una fila de usuarios no estaba vinculada a un mecanismo de autenticación específico, lo que podría, en circunstancias especiales, permitir la toma de control de la cuenta. Se ha asignado el identificador CVE-2022-23795 para esta vulnerabilidad alta.
- Un filtrado inadecuado de los ID seleccionados en una solicitud podría resultar en una inyección SQL. Se ha asignado el identificador CVE-2022-23797 para esta vulnerabilidad alta.
Para el resto de vulnerabilidades medias y bajas se han asignado los identificadores CVE-2022-23793, CVE-2022-23794, CVE-2022-23796, CVE-2022-23798, CVE-2022-23799, CVE-2022-23800 y CVE-2022-23801.
Referencias:
Joomla 4.1.1 and 3.10.7 Release
[20220301] - Core - Zip Slip within the Tar extractor
[20220302] - Core - Path Disclosure within filesystem error messages
[20220303] - Core - User row are not bound to a authentication mechanism
[20220304] - Core - Missing input validation within com_fields class inputs
[20220305] - Core - Inadequate filtering on the selected Ids
[20220306] - Core - Inadequate validation of internal URLs
[20220307] - Core - Variable Tampering on JInput $_REQUEST data
[20220308] - Core - Inadequate content filtering within the filter code
[20220309] - Core - XSS attack vector through SVG
[Actualización 31/03/2022] Joomla 4.1.2 and 3.10.8 Release
[Actualización 31/03/2022] Do not install the Joomla 4.1.1 and 3.10.7 updates
Comentarios (0)