Joomla ha lanzado actualizaciones de seguridad que resuelven dos vulnerabilidades en Joomla CMS y Joomla Framework. Las mismas podrían permitir una omisión de autenticación o lectura de archivo arbitrario.
Productos Afectados
- Joomla CMS 4.x, versiones anteriores a 4.4.13
- Joomla CMS 5.x, versiones anteriores a 5.2.6
- Joomla Framework, versiones anteriores a la 2.1.1
- Joomla Framework 3.x, versiones anteriores a 3.3.1
Impacto
Las vulnerabilidades de mayor severidad se identifican como:
CVE-2025-25226: con puntuación de 9.8 en CVSS v3. El manejo incorrecto de identificadores podría permitir a un actor malicioso utilizar inyección SQL en el método quoteNameStr del paquete de base de datos.
CVE-2025-25227: con puntuación de 7.5 en CVSS v3. Esta vulnerabilidad podría permitir a un actor malicioso eludir los controles 2FA a través de los controles de estado insuficiente que conducen a un vector.
Recomendación
Actualizar a la última versión disponible, desde el sitio web oficial del fabricante.
Referencias
- https://developer.joomla.org/security-centre/964-20250402-core-mfa-authentication-bypass.html
- https://developer.joomla.org/security-centre/963-20250401-framework-sql-injection-vulnerability-in-quotenamestr-method-of-database-package.html
- https://www.tenable.com/cve/CVE-2025-25226
- https://www.tenable.com/cve/CVE-2025-25227