חדשות ג'ומלה

עדכוני אבטחה אפריל 2017

אתר ג'ומלה העולמי מעדכן כי נמצאו מספר ליקויי אבטחה בגירסאות ג'ומלה, אשר תוקנו במעבר לגירסת ג'ומלה 3.7.0. להלן עדכוני האבטחה:

בגירסאות ג'ומלה 3.4.0 עד 3.6.5 נמצא כי באפשרות דיווח שגיאות, קבצים מסוימים גורמים לחשיפת מלאה של נתיבים במערכת.
בגירסאות ג'ומלה 3.2.0 עד 3.6.5 נמצאה אפשרות להעלאת קבצי SWF על ידי משתמשים בעלי הרשאות נמוכות, גם כאשר סומן לא לאפשר העלאת קבצים מסוג זה.
בגירסאות ג'ומלה 1.6.0 עד 3.6.5 התגלה כי קיימת אפשרות לשינוי מחבר מאמר בעקבות בעיית Filtering של טפסים.
בגירסאות ג'ומלה 3.2.0 עד 3.6.5 התגלו חולשות XSS ברכיב ניהול תבנית העיצוב, לאחר שינוי שמות קבצים ותיקיות.
בגירסאות ג'ומלה 1.5.0 עד 3.6.5 נמצאו חולשות XSS ברכיבים שונים בעקבות שינוי מאפייני HTML מסוימים.
בגירסאות ג'ומלה 1.5.0 עד 3.6.5 נמצא כי דואר שנשלח באמצעות ה- API של Jmail, הדליף את גירסת ה- PHPmailer לתוך נתוני הודעת הדוא"ל.

כאמור, כל הליקויים הללו תוקנו במעבר לגירסת ג'ומלה 3.7.0 וההמלצה הגורפת היא לעדכן את גירסת אתרי ג'ומלה לגירסה זו.