Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
Joomla ha lanzado una actualización de seguridad para corregir una vulnerabilidad de nivel "crítico" en el core que permite el acceso no autorizado a los EndPoints del servicio web a causa de la manipulación de una entrada que provocaría el escalamiento de privilegios. La vulnerabilidad se ha catalogado como CVE-2023-23752
La API vulnerable en cuestión es /api/index.php /v1/config/application?public=true que despliega datos de configuración de la base de datos, correo electrónico, proxy http y redis.
La actualización solo realiza correcciones de seguridad, no existen más cambios en comparación a la versión 4.2.7.
Recursos afectados
Versiones de Joomla entre 4.0.0 a 4.2.7
Solución
En caso de que tenga una versión vulnerable actualice a la versión 4.2.8 de manera inmediata.
Recomendaciones
Una vez actualizado se recomienda la renovación de todas las contraseñas que se encuentran registradas en el archivo de configuración global del sitio:
- Base de datos
- SMTP
- Redis
- HTTP Proxy