Hi!
Ich bin kein Fan vom BSI, doch es sollte vielleicht erwähnt werden das der BSI eine deutlich höhere Gefährdungseinstufung der Versionen vor 5.0.3/4.4.3 nennt: teils CVSS-Wert von 9.1
Die Einstufung des BSI basiert vermutlich darauf, dass zwei der Lücken für XSS Angriffe genutzt werden können und ein XSS Payload, wenn er mit Admin-Rechten ausgeführt wird, im Grunde genommen eine Remote-Code-Execution ist.
Nur einer der beiden Angriffe kann aber überhaupt ohne erweiterte Rechte ausgeführt werden und das erfordert bestimmte Bedingungen und liefert nur einen sehr schmalen Vektor, daher auch unsere Einschätzung als "High", die sich aus dem Score von 7,5 ableitet.
Nur nebenbei: Im Artikel steht "die Entwickler nennen 3.10.14-elts als Bugfix-Release". Richtig ist 3.10.15-elts.
Ich bin schon etwas verblüfft. Ein Kunde hat mich gestern auch darüber informiert.
Er ist elts-Kunde und hat kein einziges Update angeboten bekommen. Hängt imnmer noch bei 3.10.12.
Jetzt fragt er mich, wozu er das Geld gezahlt hat und ich habe Ihn gebeten, sich mit https://elts.joomla.org/ in Verbindung zu setzen.
Wie soll das mit Upadtes bei registrierten ELTS-Kunden denn laufen?
Wieso wird im Backend kein Update angezeigt?
Wie soll das mit Upadtes bei registrierten ELTS-Kunden denn laufen?Wieso wird im Backend kein Update angezeigt?
Er muss seinen Update-Link eintragen:
Beide Update-Links sind eingetragen.
Dass jetzt noch etwas als Update-Quelle im J3 Backend eingetragen werden soll, konnte ich nicht finden.
Hab es gerade gefunden. Man muss bei Joomla Update (Backend) die eigene URL wählen und dann den Link einfügen.
Dass jetzt noch etwas als Update-Quelle im J3 Backend eingetragen werden soll, konnte ich nicht finden.
Das ist der entscheidende Teil des ganzen Themas, erst damit weiß die Joomla Seite etwas über die Updates.
Die Einschätzung bei BSI ist nach Hinweis korrigiert worden: https://wid.cert-bund.de/porta…ry?name=WID-SEC-2024-0430
