Sobre GlobalGate

Joomla!: Múltiples vulnerabilidades

Se han publicado múltiples vulnerabilidades en Joomla! que pueden ser aprovechadas para causar ataques del tipo XSS (Cross-Site Scripting).

Alerta de Seguridad ArCERT2009070100

Joomla!: Múltiples vulnerabilidades

Se han publicado múltiples vulnerabilidades en Joomla! que pueden ser aprovechadas para causar ataques del tipo XSS (Cross-Site Scripting).

Versiones Afectadas

Se ven afectadas por estas vulnerabilidades las versiones: Joomla! 1.5.x anteriores a la 1.5.12

Detalle

A continuación se detallan las vulnerabilidades: Existe un error de validación en el manejo de la variable HTTP_REFERER.  Un atacante puede aprovechar esta vulnerabilidad, para inyectar código JavaScript o DHTML que será ejecutado en el navegador de un usuario, de manera tal que puede robar cookies. Existe un error de validación de PHP_SELF que permite a un atacante la inyección, en una URL, de código JavaScript que será ejecutado en el navegador del usuario. Existe una falla en el control JEXEC por las cual ciertos archivos no son validados. Esto puede ser aprovechado por un atacante para ejecutar scripts y exponer información interna del equipo.

Impacto

El impacto de esta vulnerabilidad es MODERADO.

Recomendaciones

Se recomienda actualizar a la versión de Joomla! 1.5.12 o posterior.

Referencias

Más información sobre esta Alerta: Joomla!: http://developer.joomla.org/security/news/298-20090604-core-frontend-xss-httpreferer-not-properly-filtered.html http://developer.joomla.org/security/news/299-20090605-core-frontend-xss-phpself-not-properly-filtered.html http://developer.joomla.org/security/news/300-20090606-core-missing-jexec-check.html