Descuento 20% Diciembre
Plugin Optimización de Imágenes Gratuito para WordPress
Miércoles, 31 Agosto 2011 04:20

Liberadas versiones de seguridad del editor JCE 2.0.11 y 1.5.7.14

Escrito por 
CMS:  Joomla! |  Versión:  1.7 |  Nivel de dificultad:  Básico |  Tiempo estimado de lectura:  5 minutos


JCE 2.0.11Han sido liberadas las versiones de JCE 2.0.11 para Joomla! 1.7 y JCE 1.5.7.14 para Joomla! 1.5 respectivamente. Ambas actualizaciones incluyen parches de seguridad importantes y se insta a todos los usuarios a actualizar tan pronto como les sea posible.

Vulnerabilidad reportada

Una vulnerabilidad ha sido reportada en JCE 2.0 (Joomla! 1.7) y JCE 1.5 que permite a un usuario conectado - tener acceso a JCE (es decir: este puede crear o editar artículos) y hacer uso de cualquiera de los plugins Image Manager, Image Manager Extended, File Manager, Media Manager o Template Manager - ver y manipular archivos y carpetas fuera de la carpeta asignada a estos plugins.

JCE 2.0.11 y JCE 1.5.7.14 agregan controles de seguridad adicionales para corregir esta grave vulnerabilidad. Tras comprobaciones posteriores se han añadido algunas funciones en los plugins Image Manager Extended y Template Manager.

Recomendaciones para proteger JCE

JCE 2.0 y JCE 1.5 incluyen un sistema que permite controlar quién tiene acceso a los plugins de JCE (como Image Manager) y las características de estos plugins (por ejemplo, eliminar, renombrar, etc.). A pesar de los controles de seguridad adicionales añadidos en esta actualización, es recomendable aprovechar el sistema de Perfil/Grupo para restringir el uso de JCE a usuarios de confianza y grupos de usuarios solamente, y no permitir que los usuarios tengan acceso de forma arbitraria a plugins como Image Manager.

Esto se puede hacer de forma rápida y sencilla mediante los siguientes pasos:

Edite cada perfil (o grupo en JCE 1.5) y elimine los grupos de usuarios de la lista de Grupo de Usuarios en la configuración que no necesiten acceder a las características de ese perfil. Se puede crear un perfil nuevo para algunos grupos de usuarios (como Autores), limitado un conjunto de funciones para el editor.

Para cada uno de los plugins mencionados anteriormente (Image Manager, Image Manager Extended, File Manager, Media Manager, Template Manager), desactivar cualquiera de las funciones en la sección de Parámetros del Plugin a las que los usuarios y grupos de usuarios asignados al perfil no deberían tener acceso, por ejemplo: puede configurar Eliminar Carpetas y Eliminar Archivos para el plugin Image Manager y así evitar que los usuarios en el perfil puedan ser capaces de eliminar archivos y carpetas.

Fallos corregidos:

Además de las revisiones de seguridad añadidas, JCE 2.0.11 incluye una serie de correcciones de errores - ver los detalles en la Lista de Cambios -, así como una nueva característica añadida al botón de la tabla que le permite crear rápidamente una selección de tablas simples por una rejilla de un menú desplegable.



Los siguientes plugins han sido actualizados:

  • JCE 2.0
  • Image Manager Extended
  • Media Manager
  • Captions
  • Template Manage

  • JCE 1.5
  • Image Manager Extended
  • Template Manager

Actualización del editor JCE

JCE 2.0 y sus extensiones se pueden actualizar de forma rápida y fácil usando el diálogo de Actualizaciones lanzado desde el Panel de Control del componente o desde la página de instalación de JCE. JCE 2.0 y JCE 1.5 se pueden actualizar mediante la instalación de la nueva versión sobre la antigua con el instalador de Joomla! - consulte Instalación de JCE.

Recomendamos realizar una copia de seguridad con Akeeba Backup antes de proceder con este tipo de actualización, que siendo en este caso una vulnerabilidad que afecta al componente a través de los plugins, puede comprometer el sitio web por lo que instamos a todos los usuarios de este componente que se actualicen lo antes posible.



¿Te ha resultado interesante este artículo?

Suscríbete para recibir consejos exclusivos para WordPress, Joomla y PrestaShop



Luis Méndez Alejo

Miembro del equipo técnico de Webempresa.
Coordinador de contenidos en el Blog y en Youtube.
Google+


Plugin Optimización de Imágenes Gratuito para WordPress