Zwei mit dem Schweregrad "hoch" eingestufte Sicherheitslücken klaffen in den Joomla-Versionen 1.7.3 bis inklusive 3.7.2. Um die Lücken zu schließen, sollten Nutzer die reparierte Ausgabe 3.7.3 installieren.

Durch ein nicht korrektes Zurücksetzen des Caches (CVE-2017-9933) können Informationen geleakt werden. Duch das Ausnutzen einer zweiten Schwachstelle (CVE-2017-9934) kann durch ein fehlendenes CSRF-Token-Checks und einer ungenauen Überprüfung von Eingaben ein XSS-Angriff durchgeführt werden. Die Joomla Entwickler führen derzeit nicht aus, wie Angriffe im Detail vonstatten gehen.

Eine weitere XSS-Lücke (CVE-2017-7985) klafft In den Versionen 1.5.0 bis einschließlich 3.7.2. Diese ist mit dem Bedrohungsgrad "niedrig" eingestuft. Die Entwickler haben neben dem Schließen der Schwachstellen mehrere Bugs gefixt.

(ms, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE