Recientemente, una vulnerabilidad CSRF fue descubierta en Docman. Un atacante puede tener los mismos permisos que el administrador. En las condiciones adecuadas esto puede utilizarse para modificar datos o obtener acceso a una consola. Todas las versiones 1.3.x, al igual que 1.4.0.BETA2 y 1.4.0RC1 son vulnerables. Por lo tanto es recomendado que todos los usuarios se actualicen a la nueva versión 1.4.0.RC2.
CSRF o "cross site request forgery" es una vulnerabilidad relativamente desconocida. Muchas de las extensiones, al igual que las antiguas versiones de Joomla! tienen esta vulnerabilidad. Recomendamos que actualice todos sus sitios ya sea a Joomla! 1.0.14 o Joomla! 1.0.15, y que solo utilice extensiones de fuentes confiables. Siempre cierren sesión después de trabajar en su sitio, ya sea desde el front end (parte pública) como desde el back-end (parte privada).Instalación / Actualización
- Instalar una copia nueva de DOCman se puede hacer de la forma usual, utilizando el componente de Joomla! o el instalador de extensiones.
- Para actualizar DOCman 1.4.x a la nueva versión, simplemente puedes remover DOCman a través del desintalador de Joomla!, y luego instalar la nueva versión. Revisa la configuración luego de actualizar. Si has hecho cambios la plantilla, realiza el backup de esto primero. Revisa el archivo README.php que se incluye en el zip antes de actualizar.
- Para actualizar DOCman 1.3 RC1 o RC2 a la nueva versión, necesitas instalar el parche de primero, el cual lo puedes encontrar el sitio de descargas mencionado más adelante. El archivo README incluido en el zip contiene las instrucciones detalladas para la instalación del parche.
- Para migrar la instalación de DOCman de Joomla 1.0.x a Joomla! 1.5.x, utilizar el plugin de migración que se puede descargar del sitio. Nuevamente, el zip contiene un README con las instrucciones.
- Todas las descargas se encuentran en http://www.joomlatools.org/products/docman/downloads/ . Se recomienda que siempre hagan la descarga del sitio oficial. De esta forma sabras que los archivos no se encuentran comprometidos. Aquí también puedes encontrar una serie de extensiones y traducciones.
- El FAQ oficial se encuentra en http://www.joomlatools.org/products/docman/faq/
- Para soporte de la comunidad, visitar el foro de Joomlatools http://forum.joomlatools.org
Texto original: DOCman Security Announcement
Traducido por: Equipo de Traducción y Documentación Comunidad Joomla!
