Alert GCSA-21071 - Aggiornamento di sicurezza per Joomla!
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
alert ID: GCSA-21071
data: 09 luglio 2021
titolo: Aggiornamento di sicurezza per Joomla!
******************************************************************
:: Descrizione del problema
E' stata rilasciata una nuova versione del CMS Joomla!
con la quale vengono corrette 5 vulnerabilita' di sicurezza a
bassa gravita', inoltre sono state sviluppate oltre 15 correzioni
di bug e miglioramenti.
[20210701] XSS nel campo delle regole JFrom
[20210702] DoS attraverso la manipolazione della tabella usegroup
[20210703] Mancanza della terminazione forzata delle sessioni
[20210704] Privilege Escalation attraverso com_installer
[20210705] XSS nella lista immagini di com_media
Maggiori dettagli sono disponibili alla sezione "Riferimenti".
:: Software interessato
Joomla! versioni dalla 2.5.0 alla 3.9.27
:: Impatto
Cross Site Scripting (XSS)
Denial of Service (DoS)
Privilege escalation (EoP)
:: Soluzioni
Aggiornare alla versione 3.9.28
https://downloads.joomla.org/
https://downloads.joomla.org/cms/joomla3/3-9-28
https://downloads.joomla.org/latest
Joomla! update instructions
https://docs.joomla.org/J3.x:Updating_from_an_existing_version/it
:: Riferimenti
Joomla! Release News
https://www.joomla.org/announcements/release-news/5840-joomla-3-9-28.html
Disponibile aggiornamento sicurezza Joomla!
https://www.joomla.it/notizie/rilasci-joomla/9093-disponibile-aggiornamento-sicurezza-joomla-3-9-28.html
Joomla! Security Announcements
https://developer.joomla.org/security-centre.html
Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26039
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26038
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26037
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26036
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26035
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCYOgJ4QAKCRDBnEyTZRJg
Qv6GAJ9EOkJLOKlio0LDHAr+G8Xodu3JcQCfS9Lwy3IHbT+oO0L4eNnWOX7Zz64=
=TAws
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
alert ID: GCSA-21071
data: 09 luglio 2021
titolo: Aggiornamento di sicurezza per Joomla!
******************************************************************
:: Descrizione del problema
E' stata rilasciata una nuova versione del CMS Joomla!
con la quale vengono corrette 5 vulnerabilita' di sicurezza a
bassa gravita', inoltre sono state sviluppate oltre 15 correzioni
di bug e miglioramenti.
[20210701] XSS nel campo delle regole JFrom
[20210702] DoS attraverso la manipolazione della tabella usegroup
[20210703] Mancanza della terminazione forzata delle sessioni
[20210704] Privilege Escalation attraverso com_installer
[20210705] XSS nella lista immagini di com_media
Maggiori dettagli sono disponibili alla sezione "Riferimenti".
:: Software interessato
Joomla! versioni dalla 2.5.0 alla 3.9.27
:: Impatto
Cross Site Scripting (XSS)
Denial of Service (DoS)
Privilege escalation (EoP)
:: Soluzioni
Aggiornare alla versione 3.9.28
https://downloads.joomla.org/
https://downloads.joomla.org/cms/joomla3/3-9-28
https://downloads.joomla.org/latest
Joomla! update instructions
https://docs.joomla.org/J3.x:Updating_from_an_existing_version/it
:: Riferimenti
Joomla! Release News
https://www.joomla.org/announcements/release-news/5840-joomla-3-9-28.html
Disponibile aggiornamento sicurezza Joomla!
https://www.joomla.it/notizie/rilasci-joomla/9093-disponibile-aggiornamento-sicurezza-joomla-3-9-28.html
Joomla! Security Announcements
https://developer.joomla.org/security-centre.html
Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26039
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26038
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26037
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26036
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26035
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCYOgJ4QAKCRDBnEyTZRJg
Qv6GAJ9EOkJLOKlio0LDHAr+G8Xodu3JcQCfS9Lwy3IHbT+oO0L4eNnWOX7Zz64=
=TAws
-----END PGP SIGNATURE-----