Joomla 3.8.4 Hinweise zu den Security Patches
From Joomla! Documentation
In Joomla 3.8.4 hat das Joomla Security Strike Team (JSST) damit begonnen, eine Reihe von XSS-Schutz-Patches für das Backend zu implementieren, die sich auf einige Anwendungsfälle auswirken können. Alle diese Punkte wurden durch interne Audits der JSST ermittelt.
Wer ist betroffen?
In Joomla 3.8.4 hat das JSST 2 XSS-Probleme behoben, die dieser Kategorie zugeordnet wurden:
- [20180101] - Core - XSS-Schwachstelle in modul chrome
- [20180102] - Core - XSS-Schwachstelle in com_fields
Betroffene Versionen
Das gilt nur für die Joomla! Version(en): 3.8.4+
Module Chromes (CVE-2018-6380)
Dieser Patch behebt ein seit langem bestehendes Problem mit dem Modul Chrome, bei dem der Parameter module_tag im System und dem Protostar Template fehlt es an Ausweichmöglichkeiten, was zu einem XSS-Angriff führen könnte. Dieses Problem ist in Joomla 3.8.4 behoben, aber nur für die Kern-Templates. Bitte an den jeweiligen Template-Anbieter wenden, damit dieser das entsprechende Modul Chromes überprüfen kann.
com_fields (CVE-2018-6377)
Dieser Patch behebt ein Problem, bei dem in den com_fields Plugins (wie z.B. einem Checkbox, Radio und Listenfeld) ein XSS-Code in die Optionen Text / Wert eingeben werden kann. Ein Nebeneffekt ist leider, dass nun XSS nicht mehr erlaubt ist. Somit können die com_fields-Titel nicht mehr als html ausgegeben werden.