SECUNIA ADVISORY ID:
SA49678

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/49678/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=49678

RELEASE DATE:
2012-07-02
DESCRIPTION:
Stefan Schurtz has discovered a vulnerability in Joomla!, which can
be exploited by malicious people to conduct cross-site scripting
attacks.

Input passed via the URL to index.php is not properly sanitised in
modules/mod_languages/tmpl/default.php before being returned to the
user. This can be exploited to execute arbitrary HTML and script code
in a user's browser session in context of an affected site.

Successful exploitation requires the Language Switcher module to be
enabled (not enabled by default).

The vulnerability is confirmed in version 2.5.6. Other versions may
also be affected.

SOLUTION:
No official solution is currently available.

PROVIDED AND/OR DISCOVERED BY:
Stefan Schurtz

ORIGINAL ADVISORY:
http://www.darksecurity.de/advisories/2012/SSCHADV2012-014.txt
 

SECUNIA ADVISORY ID:
SA49616

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/49616/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=49616

RELEASE DATE:
2012-06-25
DESCRIPTION:
A vulnerability has been reported in the Virtuemart Shipping by State
component for Joomla!, which can be exploited by malicious people to
bypass certain security restrictions.

An unspecified error exists related to permissions. No further
information is currently available.

SOLUTION:
Currently there is no known workaround.

PROVIDED AND/OR DISCOVERED BY:
Reported by the Joomla! VEL team.

ORIGINAL ADVISORY:
http://docs.joomla.org/Vulnerable_Extensions_List#Shipping_by_State_for_Virtuemart
 

แพคเกจไฟล์ภาษาไทยสำหรับ Joomla 2.5.5 (ใช้ได้กับ Joomla 2.5.6) ออกมาแล้วครับ โดยชุดไฟล์ภาษาไทยนี้ ทางทีมจูมล่าลายไทย (JoomlaCorner) ภายใต้การสนับสนุนจากบริษัท มาร์เวลิค เอ็นจิ้น จำกัด สำหรับท่านที่ได้ติดตั้งภาษาไทยเวอร์ชั่น 2.5.4 ไว้แล้ว ระบบจะแจ้งเตือนว่าไฟล์ภาษามีการอัพเดด ท่านแค่ทำการคลิกเพื่ออัพเดดก็จะติดตั้งไฟล์ภาษาไทยชุดนี้ได้ทันที

นอกจากนี้ในส่วนของระบบวันที่ จะถูกเปลี่ยนเป็น ปีพุทธศักราช โดยเปลี่ยนจากตัวเลขไทยเป็นเลขสากล แทน เช่น 20 มิถุนายน 2555  ในส่วนของคำแปลนั้น ยังมีอีกหลายส่วนที่ยังไม่ได้แปล หากสมาชิกท่านไทยสนใจจะอาสาช่วยกันแปลแล้วส่งกลับมาให้ทีมงาน ก็จะเป็นประโยชน์กับเพื่อนๆ อีกจำนวนมากครับ ลำพังทีมจูมล่าลายไทย เองมีงานในส่วนอื่นๆ ที่ต้องทำร่วมกับทีมพัฒนาจูมล่าอีกมาก เพื่อพัฒนาออกมาแจกจ่ายให้ทุกท่านได้ใช้งานกัน

คลิกที่นี่ เพื่อดาวน์โหลดไฟล์ภาษาไทย สำหรับ Joomla 2.5.5 v.1

SECUNIA ADVISORY ID:
SA49605

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/49605/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=49605

RELEASE DATE:
2012-06-19
DESCRIPTION:
Two vulnerabilities have been reported in Joomla!, which can be
exploited by malicious users to bypass certain security restrictions
and by malicious people to disclose potentially sensitive
information.

1) An error due to the application not properly filtering certain
input can be exploited to disclose certain information via SQL
errors.

2) An unspecified error exists due to the application not properly
performing certain checks.

The vulnerabilities are reported in 2.5.x versions prior to 2.5.5.

SOLUTION:
Update to version 2.5.5.

PROVIDED AND/OR DISCOVERED BY:
The vendor credits:
1) Jakub Galczyk
2) Nils R�ckmann

ORIGINAL ADVISORY:
http://www.joomla.org/announcements/release-news/5427-joomla-255-released.html
http://developer.joomla.org/security/news/470-20120601-core-privilege-escalation
http://developer.joomla.org/security/news/471-20120602-core-information-disclosure
 

ทีม Joomla! Project ได้ปล่อย Joomla 2.5.6 ออกมาให้ได้ใช้งานเป็นการเร่งด่วน รุ่นนี้แก้ไขปัญหามีความสำคัญสูงหลายจุดในรุ่น 2.5.5 ที่เพิ่งออกไป เป้าหมายที่ยิ่งใหญ่ของทีมผ่ายผลิต คือการให้ความช่วยเหลือต่อไปอย่างสม่ำเสมอ เพื่อชุมชน Joomla. ท่านสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ Joomla! Developement ที่เว็บไซต์นักพัฒนา.

ขั้นตอนการปรับปรุงนั้นง่ายมาก และคำแนะนำที่สมบูรณ์มีอยู่ที่นี่ โปรดทราบว่าตอนนี้มีวิธีการที่ง่ายและดีกว่าการปรับปรุง FTPing ไฟล์

SECUNIA ADVISORY ID:
SA49614

VERIFY ADVISORY:
Secunia.com
http://secunia.com/advisories/49614/
Customer Area (Credentials Required)
https://ca.secunia.com/?page=viewadvisory&vuln_id=49614

RELEASE DATE:
2012-06-18

DESCRIPTION:
Sammy Forgit has discovered a vulnerability in the Dione FileUploader
module for Joomla!, which can be exploited by malicious people to
compromise a vulnerable system.

The vulnerability is caused due to the
modules/mod_dionefileuploader/upload.php script allowing the upload
of files with arbitrary extensions to a folder inside the webroot.
This can be exploited to execute arbitrary PHP code by uploading a
malicious PHP script.

The vulnerability is confirmed in version 1.0.1. Other versions may
also be affected.

SOLUTION:
Restrict access to the modules/mod_dionefileuploader/upload.php
script (e.g. via .htaccess).

PROVIDED AND/OR DISCOVERED BY:
Sammy Forgit, OpenSysCom.

ORIGINAL ADVISORY:
OpenSysCom:
http://www.opensyscom.fr/Actualites/joomla-modules-dione-fileuploader-arbitrary-file-upload-vulnerability.html