Jun
07

07/06/2009 Vulnerabilidad de Cross-Site Scripting en Joomla!

Se ha anunciado una vulnerabilidad en Joomla! que podría permitir a atacantes remotos realizar ataques de cross-site scripting.

Joomla! es un sistema de código abierto de gestión de contenidos
(Content Management System o CMS), que permite la creación sencilla
de sitios y aplicaciones web. Este administrador de contenidos está
construido principalmente en PHP y requiere una base de datos MySQL.
Joomla! incluye tres plantillas por defecto entre las que se encuentra
JA_Purity.

La plantilla JA_Purity no filtra de forma adecuada el código HTML
introducido por el usuario antes de mostrar la entrada. Esto permite
a usuarios remotos la ejecución arbitraria de código script en el
navegador del usuario. El código se origina desde el sitio que ejecuta
Joomla! en el contexto de seguridad de este sitio. Con ello el atacante
podría acceder a las cookies (incluyendo las de autenticación) y a
información recientemente enviada, además de poder realizar acciones
en el sitio haciéndose pasar por la víctima.

Se ve afectada la versión 1.2.0 de la plantilla JA_Purity.
Se ha publicado la versión 1.5.11 disponible desde .
http://joomlacode.org/gf/download/frsrelease/10209/40308/Joomla_1.5.11-Stable-Full_Package.zip

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3879/comentar

Más Información:

Joomla 1.5.11 Security Release Now Available
http://www.joomla.org/announcements/release-news/5235-joomla-1511-security-release-now-available.html

Laboratorio Hispasec