Joomla 3.9.28 disponible

Joomla! ha publicado una nueva versión que soluciona 5 vulnerabilidades que afectan a su núcleo, de los tipos validación inadecuada de campos, falta de validación de los datos de entrada, cierre de sesión inadecuado tras un cambio de contraseña y ausencia de comprobaciones ACL.

Detalles:

• La validación inadecuada en el campo Rules de la API de JForm conduce a una vulnerabilidad XSS. Se ha asignado el identificador CVE-2021-26035 para esta vulnerabilidad.
• La falta de validación de los datos de entrada podría perjudicar la tabla de grupos de usuarios. Se ha asignado el identificador CVE-2021-26036 para esta vulnerabilidad.
• Varias funciones del CMS no terminaban correctamente las sesiones de usuario existentes cuando se cambiaba la contraseña de un usuario o se le bloqueaba. Se ha asignado el identificador CVE-2021-26037 para esta vulnerabilidad.
• La acción de instalación en com_installer carece de las comprobaciones ACL necesarias para los superusuarios, lo que podría conducir a varios vectores de ataque. Un sistema por defecto no se ve afectado porque com_installer está limitado a los superusuarios.Se ha asignado el identificador CVE-2021-26038 para esta vulnerabilidad.
• La validación inadecuada en la vista imagelist de com_media conduce a una vulnerabilidad XSS. Se ha asignado el identificador CVE-2021-26039 para esta vulnerabilidad.

Importancia: Alta

Recursos afectados:

Joomla! CMS, versiones:
desde la 3.0.0, hasta la 3.9.27;
desde la 2.5.0, hasta la 3.9.27.