Rilevate vulnerabilità in Joomla (AL01/260401/CSIRT-ITA)
Data:
18 Maggio 2026
Impatto Sistemico
Critico (77.94)
Sintesi
Rilevate alcune vulnerabilità di sicurezza, di cui due con gravità “alta”, nel noto CMS Joomla!. Tali vulnerabilità, qualora sfruttate, potrebbero permettere a un utente malintenzionato di eliminare file arbitrari sul filesystem e di eludere i meccanismi di sicurezza sui sistemi interessati.
Tipologia
- Arbitrary File Deletion
- Security Feature Bypass
Prodotti e/o versioni affette
Joomla!
- 4.x.x, tutte le versioni
- 5.x.x, versione 5.4.3 e precedenti
- 6.x.x, versione 6.0.3 e precedenti
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare il prodotto vulnerabile seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.
Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:
Riferimenti
- https://developer.joomla.org/security-centre/1031-20260305-core-arbitrary-file-deletion-in-com-joomlaupdate.html
- https://developer.joomla.org/security-centre/1032-20260306-core-improper-access-check-in-webservice-endpoints.html
CVE
| CVE-ID | |
|---|---|
| CVE-2026-23899 | CVE-2026-23898 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 01-04-2026 | 01/04/2026 |
| 1.1 | Aggiornata la sezione “CVE” con presenza PoC per la CVE-2026-23899. Aggiornato Impatto Sistemico. | 18/05/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
18 Maggio 2026, 11:30
CSIRT Toscana