Alcuni giorni fa il team degli sviluppatori di Joomla aveva pubblicato un comunicato nel quale veniva reso noto che i loro esperti di sicurezza stavano lavorando alla risoluzione di problematiche individuate in Joomla 3.4.4 e, in generale, nel ramo 3.x; la natura di tali vulnerabilità non era stata rivelata, gli utilizzatori avrebbero però dovuto effettuare un aggiornamento a Joomla 3.4.5 non appena quest'ultimo fosse stato rilasciato. Cosa avvenuta nelle scorse ore.
Nel complesso la release più recente ora disponibile per il download e l'upgrade dovrebbe essere il risultato della correzione di tre vulnerabilità, una classificata ad alta priorità, e presumibilmente quella che ha portato i developers ad escludere qualsiasi attività di information disclosure prima del completamento dei lavori, e altre due considerate di medio livello di criticità ma entrambe riguardanti il sistema per il controllo degli accessi.
Secondo quanto riportato dal JSST (Joomla Security Strike Team), la problematica più preoccupante avrebbe potuto esporre l'applicazione ad attacchi basati sulla SQL Injection da parte di utenti malintenzionati; nello specifico parliamo di una falla rilevata a livello di core nelle versione del CMS che vanno dalla 3.2.0 alla 3.4.4 e che avrebbe avuto origine da un filtraggio inadeguato delle richieste.
Per quanto riguarda le altre due vulnerabilità, ne sarebbe stata risolta un'altra, anch'essa relativa alle release dalla 3.2.0 alla 3.4.4 ma questa volta riferita all'ACL, correlata a delle lacune nelle verifiche del componente com_contenthistory
e potenziale veicolo per l'accesso a dati che sarebbero dovuti rimanere riservati. La terza problematica, infine, avrebbe coinvolto un maggior numero di versioni di Joomla (dalla 3.o alla 3.4.4), con un coinvolgimento del componente com_content
e rischi analoghi a quelli esposti per la falla precedente.
Via Joomla