O Joomla lançou a versão 3.8.4, que aborda muitos problemas de segurança, incluindo uma falha de injeção de SQL e três falhas de cross-site scripting (XSS).

As vulnerabilidades de injeção de XSS e SQL foram classificadas como “low priority”.

Pode ler-se no comunicado da nova release:

“Joomla 3.8.4 is now available. This is a security release for the 3.x series of Joomla addressing four security vulnerabilities and including over 100 bug fixes and improvements.”

 

O problema mais grave é a vulnerabilidade de injeção SQL identificada como CVE-2018-6376, devido ao seu alto impacto.

Esta vulnerabilidade afeta as versões do Joomla:  3.7.0 até à 3.8.3.

Esta vulnerabilidade foi reportada por um especialista de segurança, Karim Ouerghemmi, da RIPS Technologies, e pode ler-se no comunicado:

“Recent updates to our analysis engine lead to the discovery of a new vulnerability in the Joomla! core affecting versions prior to 3.8.4. RIPS discovered a second-order SQL injection that could be used by attackers to leverage lower permissions and to escalate them into full admin permissions.”

 

Os especialistas explicaram que a falha pode ser explorada para obter privilégios de administração e instalação no Joomla.
An attacker exploiting this vulnerability can read arbitrary data from the database. This data can be used to further extend the permissions of the attacker. By gaining full administrative privileges she can take over the Joomla! installation by executing arbitrary PHP code.” 

 

Dica: Avalie e proceda à atualização do seu CMS o quanto antes!

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *