Joomla ha publicado la nueva versión de Joomla 3.6.4 que corrige dos vulnerabilidades críticas que afectan a la creación de cuentas del popular CMS, que compite con WordPress por ser el más utilizado.




Se ha hablado deataques cibernéticos que usan sitios web comprometidos funcionando con CMS Joomla. Por ejemplo, en febrero, los expertos en seguridad observaron un aumento en el número de sitios web Joomla comprometidos utilizados en ataques AdMedia.

Esta semana una nueva versión del CMS Joomla ha sido publicad, Joomla versión 3.6.4, que corrige dos vulnerabilidades críticas de creación de cuentas.

Ambas vulnerabilidades han sido calificadas de alta severidad, los desarrolladores del el equipo han solucionado ambos fallos en unos pocos días.

Joomla 3.6.4.

El primer fallo, identificado como CVE-2016-8870, podría ser aprovechada por un atacante para registrarse en un sitio web, incluso cuando el registro se ha desactivado. La vulnerabilidad afecta al núcleo de Joomla en las versiones 3.4.4hasta de 3.6.3.

El segundo fallo, con el numero de identificador CVE-2016-8869, puede ser explotada por los usuarios a registrarse en un sitio web, pero con privilegios elevados.

"El uso incorrecto de los datos sin filtrar permite a los usuarios registrarse en un sitio con privilegios elevados." Afirma la descripción del bug publicado por Joomla.

El fallo fue reportao por Davide Tampellini el 21 de octubre, es causada por un uso incorrecto de los datos sin filtrar. versiones de Joomla afectados oscila entre 3.4.4 hasta la versión 3.6.3.

El equipo de de Seguridad Joomla!JSST) insta a los administradores de sitios que tienen el popular CMS para actualizar y parchear sus instalaciones tan pronto como sea posible.

Ahora que los defectos se han dado a conocer públicamente, los ladrones tratarán de explotar con el fin de comprometer sitios web y utilizarlos para actividades ilícitas, por esta razón, es esencial para aplicar con urgencia las actualizaciones.

• Project: Joomla!
• SubProject: CMS
• Severity: High
• Versions: 3.4.4 through 3.6.3
• Exploit type: Elevated Privileges
• Reported Date: 2016-October-21
• Fixed Date: 2016-October-25
• CVE Number: CVE-2016-8869

Description

Incorrect use of unfiltered data allows for users to register on a site with elevated privileges.

Affected Installs

Joomla! CMS versions 3.4.4 through 3.6.3

Solution

Upgrade to version 3.6.4

• Project: Joomla!
• SubProject: CMS
• Severity: High
• Versions: 3.4.4 through 3.6.3
• Exploit type: Account Creation
• Reported Date: 2016-October-18
• Fixed Date: 2016-October-25
• CVE Number: CVE-2016-8870

Description

Inadequate checks allows for users to register on a site when registration has been disabled.

Affected Installs

Joomla! CMS versions 3.4.4 through 3.6.3

Solution

Upgrade to version 3.6.4