Alert GCSA-21060 - Aggiornamento di sicurezza per Joomla!

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

******************************************************************

alert ID: GCSA-21060
data: 28 maggio 2021
titolo: Aggiornamento di sicurezza per Joomla!

******************************************************************

:: Descrizione del problema

E' stata rilasciata una nuova versione del CMS Joomla!
con la quale vengono corrette 3 vulnerabilita' di sicurezza a
basso impatto, inoltre sono state sviluppate oltre 15 correzioni
di bug e miglioramenti.

[20210501] Aggiunto HTML alla lista di blocco file eseguibili in MediaHelper::canUpload
[20210502] CSRF nell'endpoint AJAX di riordinamento
[20210503] CSRF nell'endpoint di download dati

Maggiori dettagli sono disponibili nella segnalazione ufficiale
alla sezione "Riferimenti".


:: Software interessato

Joomla! versioni dalla 3.0.0 alla 3.9.26


:: Impatto

Cross Site Scripting (XSS)
Cross-Site Request Forgery (CSRF)

:: Soluzioni

Aggiornare alla versione 3.9.27

https://downloads.joomla.org/
https://downloads.joomla.org/cms/joomla3/3-9-27
https://downloads.joomla.org/latest

Joomla! update instructions
https://docs.joomla.org/J3.x:Updating_from_an_existing_version/it


:: Riferimenti

Joomla! Release News
https://www.joomla.org/announcements/release-news/5836-joomla-3-9-27.html

Disponibile aggiornamento sicurezza Joomla!
https://www.joomla.it/notizie/rilasci-joomla/9089-disponibile-aggiornamento-sicurezza-joomla-3-9-27.html

Joomla! Security Announcements
https://developer.joomla.org/security-centre.html

Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26032
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26033
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26034


GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----

iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCYLCpoQAKCRDBnEyTZRJg
Quk/AJ9nWd1+X/ntpwY4I+gA9vKshLxs/QCgyJkzrS7p8GNGKbcBFpNJjFFOatk=
=cxek
-----END PGP SIGNATURE-----