Se han descubierto múltiples vulnerabilidades en el CMS Joomla!, entre ellas una de severidad crítica. Un actor malicioso remoto podría explotar estos fallos para lograr la omisión de autenticación, la evasión de funciones de seguridad, la escalación de privilegios y la lectura arbitraria de archivos en los sistemas afectados.
Productos afectados
- Joomla! CMS: versiones desde la 3.2.1 hasta la 5.4.5.
- Joomla! CMS: versión 6.1.0 y anteriores
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-48902: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad debido a una degradación de cifrado en el transporte de datos. El sistema genera enlaces de restablecimiento de credenciales utilizando el protocolo inseguro HTTP en lugar de HTTPS, a menos que se fuerce SSL de manera global. Un actor malicioso remoto que intercepte el tráfico de red podría capturar estos tokens y comprometer las cuentas de los usuarios.
CVE-2026-35223: con una puntuación de 8.6 en CVSS v4.0. Existe una vulnerabilidad de escalada de privilegios a través de los puntos finales del servicio web debido a una verificación de control de acceso defectuosa. Un actor malicioso remoto con privilegios básicos podría aprovechar esta condición para elevar sus privilegios a nivel de administrador dentro de la aplicación.
CVE-2026-48904: con una puntuación de 8.2 en CVSS v4.0. Existe una vulnerabilidad de escalación de privilegios a través de los puntos finales de su servicio web, debido a una verificación de control de acceso defectuosa. Un actor malicioso remoto no autenticado podría aprovechar esta condición para eludir las restricciones de seguridad y elevar sus privilegios hasta el nivel de administrador dentro de la aplicación.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias