SECUNIA ADVISORY ID:
SA51512

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/51512/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=51512

RELEASE DATE:
2012-12-11
DESCRIPTION:
Two vulnerabilities have been reported in the JooProperty component
for Joomla!, which can be exploited by malicious people to conduct
cross-site scripting and SQL injection attacks.

1) Input passed to the "product_id" parameter in index.php (when
"option" is set to "com_jooproperty", "view" is set to "booking", and
"layout" is set to "modal") is not properly sanitised before being
returned to the user. This can be exploited to execute arbitrary HTML
and script code in a user's browser session in context of an affected
site.

2) Input passed via the "product_id" parameter to index.php (when
"option" is set to "com_jooproperty", "view" is set to "booking", and
"layout" is set to "modal") is not properly sanitised before being
used in a SQL query. This can be exploited to manipulate SQL queries
by injecting arbitrary SQL code.

The vulnerabilities are reported in version 1.13.0. Other versions
may also be affected.

SOLUTION:
No official solution is currently available.

PROVIDED AND/OR DISCOVERED BY:
Daniel Barragan "D4NB4R"

ORIGINAL ADVISORY:
http://packetstormsecurity.org/files/118741/Joomla-Jooproperty-SQL-Injection-Cross-Site-Scripting.html
 

SECUNIA ADVISORY ID:
SA51376

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/51376/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=51376

RELEASE DATE:
2012-11-27
DESCRIPTION:
A vulnerability with an unknown impact has been reported in the
sh404SEF component for Joomla!.

The vulnerability is caused due to an unspecified error. No further
information is currently available.

The vulnerability is reported in versions 3.4.x, 3.5.x, and 3.6.x.

SOLUTION:
Update to version 3.7.0 (build 1485).

PROVIDED AND/OR DISCOVERED BY:
Reported by the vendor.

ORIGINAL ADVISORY:
http://anything-digital.com/sh404sef/news/releases/sh404sef-3_7_0_1485-released.html
 

SECUNIA ADVISORY ID:
SA51333

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/51333/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=51333

RELEASE DATE:
2012-11-19
DESCRIPTION:
A vulnerability has been reported in the jNews component for Joomla!,
which can be exploited by malicious people to compromise a vulnerable
system.

The vulnerability is caused due to the application bundling a
vulnerable version of Open Flash Chart.

This might be related to:
SA37903

The vulnerability is reported in versions prior to 7.9.1.

SOLUTION:
Update to version 7.9.1.

ORIGINAL ADVISORY:
http://www.joobi.co/index.php?option=com_content&view=article&id=8560
http://docs.joomla.org/Vulnerable_Extensions_List#jNews
 

SECUNIA ADVISORY ID:
SA51187

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/51187/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=51187

RELEASE DATE:
2012-11-09
DESCRIPTION:
A vulnerability has been reported in Joomla!, which can be exploited
by malicious people to bypass certain security restrictions and
conduct cross-site request forgery attacks.

The application allows users to perform certain actions via HTTP
requests without performing any validity checks to verify the
requests. This can be exploited to perform certain unspecified
actions by tricking a user into clicking a specially crafted link via
clickjacking.

The vulnerability is reported in versions 2.5.7 and prior.

SOLUTION:
Update to version 2.5.8.

PROVIDED AND/OR DISCOVERED BY:
The vendor credits Ajay Singh Negi.

ORIGINAL ADVISORY:
http://developer.joomla.org/security/news/544-20121102-core-clickjacking.html
 

ทีม Joomla! Project ได้ปล่อย Joomla! 3.0.2 ออกมาให้ได้ดาวน์โหลดกันอีกครั้งแล้ว รุ่นนี้ โดยรุ่นนี้แก้ไขปัญหาเรื่องความปลอดภัยครับ ซึ่งเป็นไปตามเป้าหมายที่ยิ่งใหญ่ของทีมผ่ายผลิต คือการให้ความช่วยเหลือชุมชน Joomla อย่างสม่ำเสมอ โดยท่านสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ Joomla! Developement ที่ เว็บไซต์นักพัฒนา ครับ

ทีม Joomla! Project ได้ปล่อย Joomla 2.5.8 ออกมาให้ได้ใช้งานกันอีกแล้ว โดยรุ่นนี้แก้ไขปัญหาเรื่องความปลอดภัยครับ ซึ่งเป็นไปตามเป้าหมายที่ยิ่งใหญ่ของทีมผ่ายผลิต คือการให้ความช่วยเหลืออย่างสม่ำเสมอ เพื่อชุมชน Joomla. โดยท่านสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ Joomla! Developement ที่เว็บไซต์นักพัฒนา.

ส่วนขั้นตอนการอัพเดตนั้นง่ายมาก และคำแนะนำที่สมบูรณ์มีอยู่ที่นี่ โดยวิธีนี้ เป็นวิธีการที่ง่าย และดีกว่าการอัพเดตด้วยวิธีการ FTP ไฟล์ขึ้นไปทับแล้วครับ