Informatie over de beveiligingspatches
From Joomla! Documentation
In Joomla 3.8.4 is het Joomla Security Strike Team (JSST) begonnen met het invoeren van een reeks beschermingspatches voor het beheergedeelte welke enkele 'use cases' kunnen beïnvloeden. Al deze problemen zijn gevonden door interne audits door het JSST.
Wie wordt getroffen?
In Joomla 3.8.4, loste het JSST 2 XSS problemen op in die categorie:
- [20180101] - Core - XSS kwetsbaarheid in module chromes
- [20180102] - Core - XSS kwetsbaarheid in com_fields
Getroffen versies
Dit geldt alleen voor Joomla! versie(s): 3.8.4+
Module Chromes (CVE-2018-6380)
Deze patch repareert een al lang bestaand probleem in de module Chrome waarbij de module_tag parameter in het systeem en Protostar template geen 'escaping' heeft, wat kan leiden tot een XSS aanval. Dit probleem is opgelost in Joomla 3.8.4 maar alleen voor de core templates. Neem contact op met uw template leverancier zodat ze de corresponderende modules Chrome kunnen controleren.
com_fields (CVE-2018-6377)
Deze patch lost een probleem op waarbij u een XSS code aan de Tekst / Waarde opties in com_fields plugins kunt doorgeven, zoals Checkbox, Radio en List. Als bijkomend effect van het niet meer toestaan van XSS, kunnen de com_fields labels niet meer als html worden uitgevoerd.