Nueva actualización crítica de seguridad para Joomla!

Hace apenas una semana Joomla! publicaba la versión 3.4.6 para evitar una vulnerabilidad 0-day, pero vuelve a publicar una nueva versión (3.4.7) destinada a corregir dos nuevas vulnerabilidades (una de gravedad alta). También se mejora la seguridad del controlador MySQLi para evitar ataques de inyección de objetos.

Tras la corrección de la vulnerabilidad crítica de la semana pasada, el equipo Joomla Security Strike ha seguido investigando sobre el problema. De esta forma se ha hecho evidente que la causa es un error en el propio PHP. Este fallo ya fue corregido por PHP en septiembre de 2015 con las versiones de PHP 5.4.45, 5.5.29 y 6.5.13 (esto ya estaba corregido en todas las versiones de PHP 7). Y aunque afecta a todas las versiones desde Joomla 1.5 a 3.4.6 los únicos sitios Joomla afectados por este error son aquellos en los que se encuentra alojado con versiones de PHP vulnerables. El equipo de Joomla es consciente de que no todos los sitios mantienen las instalaciones de PHP actualizadas, por lo que esta versión corrige el problema en versiones vulnerables de PHP.

Otra vulnerabilidad corregida reside en un filtrado inadecuado de datos que da lugar a una vulnerabilidad de inyección SQL. Afecta a Joomla 3.0.0 hasta 3.4.6.

Actualización: ya se publicó la versión 3.4.8 que soluciona un bug incluido en la versión anterior.

Fuente: Hispasec

Suscríbete a nuestro Boletín