Alert GCSA-21071 - Aggiornamento di sicurezza per Joomla!

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

******************************************************************

alert ID: GCSA-21071
data: 09 luglio 2021
titolo: Aggiornamento di sicurezza per Joomla!

******************************************************************

:: Descrizione del problema

E' stata rilasciata una nuova versione del CMS Joomla!
con la quale vengono corrette 5 vulnerabilita' di sicurezza a
bassa gravita', inoltre sono state sviluppate oltre 15 correzioni
di bug e miglioramenti.

[20210701] XSS nel campo delle regole JFrom
[20210702] DoS attraverso la manipolazione della tabella usegroup
[20210703] Mancanza della terminazione forzata delle sessioni
[20210704] Privilege Escalation attraverso com_installer
[20210705] XSS nella lista immagini di com_media

Maggiori dettagli sono disponibili alla sezione "Riferimenti".


:: Software interessato

Joomla! versioni dalla 2.5.0 alla 3.9.27


:: Impatto

Cross Site Scripting (XSS)
Denial of Service (DoS)
Privilege escalation (EoP)


:: Soluzioni

Aggiornare alla versione 3.9.28

https://downloads.joomla.org/
https://downloads.joomla.org/cms/joomla3/3-9-28
https://downloads.joomla.org/latest

Joomla! update instructions
https://docs.joomla.org/J3.x:Updating_from_an_existing_version/it


:: Riferimenti

Joomla! Release News
https://www.joomla.org/announcements/release-news/5840-joomla-3-9-28.html

Disponibile aggiornamento sicurezza Joomla!
https://www.joomla.it/notizie/rilasci-joomla/9093-disponibile-aggiornamento-sicurezza-joomla-3-9-28.html

Joomla! Security Announcements
https://developer.joomla.org/security-centre.html

Mitre CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26039
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26038
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26037
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26036
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26035


GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----

iF0EARECAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCYOgJ4QAKCRDBnEyTZRJg
Qv6GAJ9EOkJLOKlio0LDHAr+G8Xodu3JcQCfS9Lwy3IHbT+oO0L4eNnWOX7Zz64=
=TAws
-----END PGP SIGNATURE-----