SECUNIA ADVISORY ID:
SA53050

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/53050/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=53050

RELEASE DATE:
2013-04-17
DESCRIPTION:
A vulnerability has been reported in the aiContactSafe component for
Joomla!, which can be exploited by malicious people to conduct
cross-site scripting attacks.

Certain unspecified input is not properly sanitised before being
returned to the user. This can be exploited to execute arbitrary HTML
and script code in a user's browser session in context of an affected
site.

The vulnerability is reported in version 2.0.19 and prior.

SOLUTION:
Update to version 2.0.21 or later.

PROVIDED AND/OR DISCOVERED BY:
The vendor credits Adam Willard via Foreground Security.

ORIGINAL ADVISORY:
http://www.algisinfo.com/en/home-bottom/41-xss-in-aicontactsafe.html
 

ทีม Joomla! Project ได้ปล่อย Joomla! CMS 3.1 เบต้า4 ออกมาให้ได้ดาวน์โหลดไปทดสอบกันอีกแล้วครับ โดยทางทีมจูมล่าได้วางกำหนดการออกรุ่นจริงของจูมล่า 3.1 ไว้ว่าจะปล่อยให้ดาวน์โหลดแพคเกจติดตั้งได้ในวันที่ 25 มีนาคม แล้วก็เลื่อนออกมาเป็น 15 เมษายน 2013 ที่ผ่านมา แต่ก็ยังไม่สามารถออกรุ่นจริงได้ทันอีกครั้งครับ โดยได้เลื่อนเวลาการออกรุ่นจริงไปอีก เป็นวันที่ 24 เมษายน ที่จะถึงนี้แทนครับ.

ซึ่ง Joomla 3 ยังเป็นรุ่นหลักของ Joomla CMS ครับ, โดยรุ่นต่อไปของ Joomla 3.0 นั้น จะเป็นรุ่น Joomla 3.1 ที่ถูกสนับสนุนในระยะเวลาสั้นๆ ในวงจรของการพัฒนา และตอบคำถามในการใช้งานหลังจากที่เราดาวน์โหลดไปใช้ สำหรับคนที่ใช้รุ่น 3.0 อยู่ในตอนนี้ หากต้องการจะอัพเดทจาก Joomla 3.0 ไปเป็น 3.1 นั้น จะทำการอัพเดทได้ง่าย จากระบบด้านผู้ดูแล หลังจากที่ทางทีมจูมล่าได้ออกรุ่นจริงครับ

แต่ในรุ่นเบต้านี้อย่านำไปอัพเกรดใด ๆ กับเว็บไซต์ของเราที่ใช้งานอยู่นะครับ เพราะยังเป็นรุ่นทดสอบอยู่ ทางทีมลายไทยเอง ก็ได้ทดลองในรุ่น เบต้า 4 นี้ ดูแล้วพบว่าดีขึ้นกว่าเดิมเล็กน้อยครับ ยังไงก็ต้องเก็บบั๊กกันต่อไป โดยทีมลายไทยเองก็ได้มีส่วนร่วมในการตรวจสอบบั๊กหลายๆ จุด จากงานที่เราเพิ่งจัดกันมาครับ จากงาน The First Pizza, Bug and Fun in Bangkok

ทีม Joomla! Project ได้ปล่อย Joomla! CMS 3.1 เบต้า3 ออกมาให้ได้ดาวน์โหลดไปทดสอบกันอีกแล้วครับ โดยทางทีมจูมล่าได้วางกำหนดการออกรุ่นจริงของจูมล่า 3.1 ไว้ว่าจะปล่อยให้ดาวน์โหลดแพคเกจติดตั้งได้ในวันที่ 25 มีนาคม 2013 ที่ผ่านมา แต่ก็ยังไม่สามารถออกรุ่นจริงได้ทันครับ โดยได้เลื่อนเวลาการออกรุ่นจริงไปอีก เป็นวันที่ 15 เมษายน ที่จะถึงนี้แทนครับ.

ซึ่ง Joomla 3 ยังเป็นรุ่นหลักของ Joomla CMS ครับ, โดยรุ่นต่อไปของ Joomla 3.0 นั้น จะเป็นรุ่น Joomla 3.1 ที่ถูกสนับสนุนในระยะเวลาสั้นๆ ในวงจรของการพัฒนา และตอบคำถามในการใช้งานหลังจากที่เราดาวน์โหลดไปใช้ สำหรับคนที่ใช้รุ่น 3.0 อยู่ในตอนนี้ หากต้องการจะอัพเดทจาก Joomla 3.0 ไปเป็น 3.1 นั้น จะทำการอัพเดทได้ง่าย จากระบบด้านผู้ดูแล หลังจากที่ทางทีมจูมล่าได้ออกรุ่นจริงครับ

แต่ในรุ่นเบต้านี้อย่านำไปอัพเกรดใด ๆ กับเว็บไซต์ของเราที่ใช้งานอยู่นะครับ เพราะยังเป็นรุ่นทดสอบอยู่ ทางทีมลายไทยเอง ก็ได้ทดลองในรุ่น เบต้า 3 นี้ ดูแล้วพบว่าดีขึ้นกว่าเดิมเล็กน้อยครับ ยังไงก็ต้องเก็บบั๊กกันต่อไป โดยทีมลายไทยเองก็ได้มีส่วนร่วมในการตรวจสอบบั๊กหลายๆ จุด จากงานที่เราเพิ่งจัดกันมาครับ จากงาน The First Pizza, Bug and Fun in Bangkok

ทีม Joomla! Project ได้ปล่อย Joomla! CMS 3.1 เบต้า2 ออกมาให้ได้ดาวน์โหลดไปทดสอบกันอีกแล้วครับ โดยทางทีมจูมล่าได้วางกำหนดการออกรุ่นจริงของจูมล่า 3.1 ไว้ว่าจะปล่อยให้ดาวน์โหลดแพคเกจติดตั้งได้ในวันที่ 25 มีนาคม 2013 ที่จะถึงนี้.

ซึ่ง Joomla 3 ยังเป็นรุ่นหลักของ Joomla CMS ครับ, โดยรุ่นต่อไปของ Joomla 3.0 นั้น จะเป็นรุ่น Joomla 3.1 ที่ถูกสนับสนุนในระยะเวลาสั้นๆ ในวงจรของการพัฒนา และตอบคำถามในการใช้งานหลังจากที่เราดาวน์โหลดไปใช้ สำหรับคนที่ใช้รุ่น 3.0 อยู่ในตอนนี้ หากต้องการจะอัพเดทจาก Joomla 3.0 ไปเป็น 3.1 นั้น จะทำการอัพเดทได้ง่าย จากระบบด้านผู้ดูแลหลังจากที่ทางทีมจูมล่าได้ออกรุ่นจริงครับ

แต่ในรุ่นเบต้านี้อย่านำไปอัพเกรดใด ๆ กับเว็บไซต์ของเราที่ใช้งานอยู่นะครับ เพราะยังเป็นรุ่นทดสอบอยู่ ทางทีมลายไทยเอง ก็ได้ทดลองในรุ่น เบต้า 2 นี้ ดูแล้วพบว่าดีขึ้นกว่าเดิมเล็กน้อยครับ ยังไงก็ต้องเก็บบั๊กกันต่อไป โดยทีมลายไทยเองก็ได้มีส่วนร่วมในการตรวจสอบบั๊กหลายๆ จุด จากงานที่เราเพิ่งจัดกันมาครับ จากงาน The First Pizza, Bug and Fun in Bangkok

SECUNIA ADVISORY ID:
SA52668

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/52668/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=52668

RELEASE DATE:
2013-03-19

DESCRIPTION:
ByEge has reported a vulnerability in the RSFiles! component for
Joomla!, which can be exploited by malicious people to conduct SQL
injection attacks.

Input passed via the "cid" GET parameter to index.php (when "option"
is set to "com_rsfiles", "view" is set to "files", "layout" is set to
"agreement", and "tmpl" is set to "component") is not properly
sanitised before being used in a SQL query. This can be exploited to
manipulate SQL queries by injecting arbitrary SQL code.

The vulnerability is reported in version 1.0.0 Rev 11. Other versions
may also be affected.

SOLUTION:
No official solution is currently available.

PROVIDED AND/OR DISCOVERED BY:
ByEge

ORIGINAL ADVISORY:
ByEge:
http://byege.blogspot.dk/2013/03/joomla-component-rsfiles-cid-sql.html
http://www.exploit-db.com/exploits/24851/
 

ทีม Joomla! Project ได้ปล่อย Joomla! CMS 3.1 Beta1 ออกมาให้ได้ดาวน์โหลดไปทดสอบกันอีกแล้วครับ โดยทางทีมจูมล่าได้วางกำหนดการออกรุ่นจริงของจูมล่า 3.1 ไว้ว่าจะปล่อยให้ดาวน์โหลดแพคเกจติดตั้งได้ในวันที่ 25 มีนาคม 2013 ที่จะถึงนี้.

ซึ่ง Joomla 3 ยังเป็นรุ่นหลักของ Joomla CMS ครับ, โดยรุ่นต่อไปของ Joomla 3.0 นั้น จะเป็นรุ่น Joomla 3.1 ที่ถูกสนับสนุนในระยะเวลาสั้นๆ ในวงจรของการพัฒนา และตอบคำถามในการใช้งานหลังจากที่เราดาวน์โหลดไปใช้ สำหรับคนที่ใช้รุ่น 3.0 อยู่ในตอนนี้ หากต้องการจะอัพเดทจาก Joomla 3.0 ไปเป็น 3.1 นั้น จะทำการอัพเดทได้ง่าย จากระบบด้านผู้ดูแลหลังจากที่ทางทีมจูมล่าได้ออกรุ่นจริงครับ

แต่ในรุ่นเบต้านี้อย่านำไปอัพเกรดใด ๆ กับเว็บไซต์ของเราที่ใช้งานอยู่นะครับ เพราะยังเป็นรุ่นทดสอบอยู่ ทางทีมลายไทยเอง ก็ได้ทดลองดูแล้วพบว่า ในขั้นตอนการติดตั้งนั้น จะมีส่วนที่ใช้เวลานานพอสมควร ในขั้นตอนของการนำเข้าฐานข้อมูลครับ