Alert GCSA-21023 - Aggiornamento di sicurezza per Joomla!
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
alert ID: GCSA-21023
data: 03 marzo 2021
titolo: Aggiornamento di sicurezza per Joomla!
******************************************************************
:: Descrizione del problema
E' stata rilasciata una nuova versione del CMS Joomla!
che corregge 9 vulnerabilita' e contiene oltre
40 correzioni di bug e miglioramenti.
[20210301] Casualita' non sicura all'interno del processo di generazione di token per autenticazione a due fattori
[20210302] FOFEncryptRandval potenzialmente non sicuro
[20210303] XSS nel messaggio di avviso mostrato agli utenti
[20210304] XSS all'interno della libreria di parsing dei feed
[20210305] Validazione dell'input nel gestore template
[20210306] com_media consentiva l'accesso a percorsi non previsti per il caricamento di immagini
[20210307] Violazione ACL nell'editing da frontend all'interno di com_content
[20210308] Attraversamento path all'interno della classe joomla/archive zip
[20210309] Il filtraggio non adeguato dei contenuti del form potrebbe consentire la sovrascrittura del campo autore
Maggiori dettagli sono disponibili nelle segnalazioni ufficiali
alla sezione "Riferimenti".
:: Software interessato
da Joomla! 3.2.0 a 3.9.24
da Joomla! 3.0.0 a 3.9.24
da Joomla! 2.5.0 a 3.9.24
da Joomla! 1.6.0 a 3.9.24
:: Impatto
Cross Site Scripting (XSS)
Information Disclosure (ID)
Directory Traversal
:: Soluzioni
Aggiornare Joomla!
https://downloads.joomla.org/
https://downloads.joomla.org/cms/joomla3/3-9-25
https://downloads.joomla.org/latest
Joomla! update instructions
https://docs.joomla.org/J3.x:Updating_from_an_existing_version/it
:: Riferimenti
Joomla! Release News
https://www.joomla.org/announcements/release-news/5834-joomla-3-9-25.html
Disponibile aggiornamento sicurezza Joomla!
https://www.joomla.it/notizie/rilasci-joomla/9086-disponibile-aggiornamento-sicurezza-joomla-3-9-25.html
Joomla! Security Announcements
https://developer.joomla.org/security-centre/
Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26029
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26028
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26027
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23132
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23131
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23130
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23129
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23128
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23127
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23126
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCYD9hTwAKCRDBnEyTZRJg
QiKZAJ9Z4vkoRl3vGZk0/Vg4EeTJQU6kegCeKCNFGyTZ/SGl+tZdxx6aPwHNXkA=
=1yub
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
alert ID: GCSA-21023
data: 03 marzo 2021
titolo: Aggiornamento di sicurezza per Joomla!
******************************************************************
:: Descrizione del problema
E' stata rilasciata una nuova versione del CMS Joomla!
che corregge 9 vulnerabilita' e contiene oltre
40 correzioni di bug e miglioramenti.
[20210301] Casualita' non sicura all'interno del processo di generazione di token per autenticazione a due fattori
[20210302] FOFEncryptRandval potenzialmente non sicuro
[20210303] XSS nel messaggio di avviso mostrato agli utenti
[20210304] XSS all'interno della libreria di parsing dei feed
[20210305] Validazione dell'input nel gestore template
[20210306] com_media consentiva l'accesso a percorsi non previsti per il caricamento di immagini
[20210307] Violazione ACL nell'editing da frontend all'interno di com_content
[20210308] Attraversamento path all'interno della classe joomla/archive zip
[20210309] Il filtraggio non adeguato dei contenuti del form potrebbe consentire la sovrascrittura del campo autore
Maggiori dettagli sono disponibili nelle segnalazioni ufficiali
alla sezione "Riferimenti".
:: Software interessato
da Joomla! 3.2.0 a 3.9.24
da Joomla! 3.0.0 a 3.9.24
da Joomla! 2.5.0 a 3.9.24
da Joomla! 1.6.0 a 3.9.24
:: Impatto
Cross Site Scripting (XSS)
Information Disclosure (ID)
Directory Traversal
:: Soluzioni
Aggiornare Joomla!
https://downloads.joomla.org/
https://downloads.joomla.org/cms/joomla3/3-9-25
https://downloads.joomla.org/latest
Joomla! update instructions
https://docs.joomla.org/J3.x:Updating_from_an_existing_version/it
:: Riferimenti
Joomla! Release News
https://www.joomla.org/announcements/release-news/5834-joomla-3-9-25.html
Disponibile aggiornamento sicurezza Joomla!
https://www.joomla.it/notizie/rilasci-joomla/9086-disponibile-aggiornamento-sicurezza-joomla-3-9-25.html
Joomla! Security Announcements
https://developer.joomla.org/security-centre/
Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26029
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26028
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26027
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23132
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23131
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23130
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23129
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23128
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23127
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-23126
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCYD9hTwAKCRDBnEyTZRJg
QiKZAJ9Z4vkoRl3vGZk0/Vg4EeTJQU6kegCeKCNFGyTZ/SGl+tZdxx6aPwHNXkA=
=1yub
-----END PGP SIGNATURE-----