Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

14/10/2019

0-Day en Joomla!

El fallo afecta a versiones antiguas y permitiría ejecutar código remoto a partir de una inyección de objetos en PHP.

Este error podría utilizarse en el login de Joomla!, puesto que los valores introducidos en los campos usuario y contraseña se almacenan en un objeto y estos, en la base de datos utilizándose funciones de lectura y escritura (read()/write())

De esta forma, se podría ejecutar código de forma remota en el servidor. El fallo es independiente de la versión de PHP que el servidor utilice.

Se recomienda actualizar lo antes posible puesto que se ha hecho público un exploit.

Sistemas Afectados:

Versiones entre la 3.0.0 y la 3.4.6.

Referencias:

None

Solución:

Actualizar a una versión reciente de Joomla!:

• 3.4.7 o superior. La versión actual es la 3.9.12.

Notas:

Más información.

CSIRT-CV