Se han publicado dos vulnerabilidades en Joomla!, que pueden ser aprovechadas para subir o eliminar archivos sin loguearse y para realizar ataques del tipo XSS (Cross-Site Scripting).
Versiones Afectadas
Se ven afectadas por estas vulnerabilidades las versiones de Joomla! anteriores a 1.5.13
Detalle
Existe un error en el editor TinyMCE de Joomla! que permite subir o remover imágenes de un sitio Web sin la necesidad de iniciar sesión en la zona de administración del CMS.
Algunos archivos no son correctamente validados por JEXEC. Esto podría exponer información interna del equipo.
Impacto
El impacto de esta vulnerabilidad es CRÍTICO.
Recomendaciones
Se recomienda actualizar a la versión Joomla! 1.5.13 o posterior.
Referencias
Más información sobre esta alerta:
Aviso Original.
http://developer.joomla.org/security/news/301-20090722-core-file-upload.html
http://developer.joomla.org/security/news/302-20090722-core-missing-jexec-check.html
Fuente: ArCERT
Publicidad