CSIRT Toscana Aggiornamenti per Joomla (AL02/250409/CSIRT-ITA)
Data:
9 Aprile 2025 09:33
Impatto Sistemico
Medio (63.46)
Sintesi
Aggiornamenti di sicurezza risolvono 2 vulnerabilità con gravità “alta” in Joomla! CMS e Joomla! Framework.
Tipologia
- Authentication Bypass
- Arbitrary File Read
Prodotti e versioni affette
Joomla! CMS:
- 4.x, versioni precedenti alla 4.4.13
- 5.x, versioni precedenti alla 5.2.6
Joomla! Framework Database Package
- Versioni precedenti alla 2.1.1
- 3.x, versioni precedenti alla 3.3.1
NB: per quanto riguarda la CVE-2025-25226, è importante notare che la vulnerabilità in questione è classificata come ad alto impatto, ma con una bassa probabilità di sfruttamento, poiché il metodo vulnerabile è protetto e non viene utilizzato nei pacchetti originali.
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza disponibile nella sezione Riferimenti.
Riferimenti
- https://developer.joomla.org/security-centre/964-20250402-core-mfa-authentication-bypass.html
- https://developer.joomla.org/security-centre/963-20250401-framework-sql-injection-vulnerability-in-quotenamestr-method-of-database-package.html
CVE
| CVE-ID | |
|---|---|
| CVE-2025-25226 | CVE-2025-25227 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 09-04-2025 | 09/04/2025 |