Neue Versionen des Content-Management-Systems Joomla korrigieren sicherheitsrelevante Fehler. Angreifer aus dem Netz könnten Cross-Site-Scripting-Attacken ausführen oder Dateien manipulieren. Anzeige In den Release-Notes zu Joomla 5.0.3 und 4.4.3 schreiben die Entwickler, dass sie darin fünf Sicherheitslücken schließen. Den Schweregrad schätzen die Programmierer einmal als hoch, zweimal als mittel und zweimal als niedrig ein. Das CERT-Bund vom BSI berechnet jedoch teils sogar kritisches Risiko mit einem CVSS-Wert von 9.1. Joomla dichtet fünf Sicherheitslecks ab Die fünf Sicherheitslücken betreffen den Joomla Core. Sie lassen sich kurz zusammenfassen als Cross-Site-Scripting-Lücken aufgrund unzureichender Filterung von Mail-Adressen in diversen Komponenten (CVE-2024-21725, Risiko "hoch" laut Joomla), unangemessene Inhaltsfilterung im Filter-Code (CVE-2024-21726, Risiko "mittel" laut Joomla-Projekt,) oder Cross-Site-Scripting-Schwachstellen aufgrund ungenügender Überprüfung bei Medien-Auswahl-Feldern (CVE-2024-21724, Joomla-Einstufung "mittleres Risiko"). Außerdem wurden Sitzungen nicht korrekt beendet, wenn Nutzerinnen und Nutzer die Mehrfaktor-Authentifizierung-Methode geändert haben (CVE-2024-21722, niedrig) sowie aufgrund Verarbeitungsfehlern von URLs im Installer ein sogenannter offener Redirect geschaffen (CVE-2024-21723, niedrig). Die Entwickler erwähnen noch weitere Fehlerkorrekturen in den neuen Fassungen, etwa aktualisierte Übersetzungen oder die Anzeige von Nachrichten auf Fehlerseiten in Joomla 5.0.3. Version 4.4.3 hat nur allgemein "Fehlerkorrekturen" auf dem Zettel. Für 3.x-Versionen gibt es kommerzielle Sicherheitsupdates, die Entwickler nennen 3.10.14-elts als Bugfix-Release. In den Joomla-Release-Notes erläutert das Projekt zudem, wie IT-Verantwortliche das Update vornehmen können oder welche Upgrade-Pfade sie beschreiten können. Da das BSI die Lücken sogar als kritisch einstuft, sollten die Aktualisierungen zügig angewendet werden. Im vergangenen Oktober erblickte der 5.0er-Zweig von Joomla das Licht der Welt. Die Änderungen blieben jedoch überschaubar. (dmk) Zur Startseite CMS Joomla bessert riskante Schwachstellen aus
- Details
- Heise RSS Feed
- Hauptkategorie: IT News aus aller Welt
- Kategorie: Sicherheitsinfos
Neue Versionen des Content-Management-Systems Joomla korrigieren sicherheitsrelevante Fehler. Angreifer aus dem Netz könnten Cross-Site-Scripting-Attacken ausführen oder Dateien manipulieren. Anzeige In den Release-Notes zu Joomla 5.0.3 und 4.4.3 schreiben die Entwickler, dass sie darin fünf Sicherheitslücken schließen. Den Schweregrad schätzen die Programmierer einmal als hoch, zweimal als mittel und zweimal als niedrig ein. Das CERT-Bund vom BSI berechnet jedoch teils sogar kritisches Risiko mit einem CVSS-Wert von 9.1. Joomla dichtet fünf Sicherheitslecks ab Die fünf Sicherheitslücken betreffen den Joomla Core. Sie lassen sich kurz zusammenfassen als Cross-Site-Scripting-Lücken aufgrund unzureichender Filterung von Mail-Adressen in diversen Komponenten (CVE-2024-21725, Risiko "hoch" laut Joomla), unangemessene Inhaltsfilterung im Filter-Code (CVE-2024-21726, Risiko "mittel" laut Joomla-Projekt,) oder Cross-Site-Scripting-Schwachstellen aufgrund ungenügender Überprüfung bei Medien-Auswahl-Feldern (CVE-2024-21724, Joomla-Einstufung "mittleres Risiko"). Außerdem wurden Sitzungen nicht korrekt beendet, wenn Nutzerinnen und Nutzer die Mehrfaktor-Authentifizierung-Methode geändert haben (CVE-2024-21722, niedrig) sowie aufgrund Verarbeitungsfehlern von URLs im Installer ein sogenannter offener Redirect geschaffen (CVE-2024-21723, niedrig). Die Entwickler erwähnen noch weitere Fehlerkorrekturen in den neuen Fassungen, etwa aktualisierte Übersetzungen oder die Anzeige von Nachrichten auf Fehlerseiten in Joomla 5.0.3. Version 4.4.3 hat nur allgemein "Fehlerkorrekturen" auf dem Zettel. Für 3.x-Versionen gibt es kommerzielle Sicherheitsupdates, die Entwickler nennen 3.10.14-elts als Bugfix-Release. In den Joomla-Release-Notes erläutert das Projekt zudem, wie IT-Verantwortliche das Update vornehmen können oder welche Upgrade-Pfade sie beschreiten können. Da das BSI die Lücken sogar als kritisch einstuft, sollten die Aktualisierungen zügig angewendet werden. Im vergangenen Oktober erblickte der 5.0er-Zweig von Joomla das Licht der Welt. Die Änderungen blieben jedoch überschaubar. (dmk) Zur Startseite - Zugriffe: 46