Descuento 20% Diciembre
Plugin Optimización de Imágenes Gratuito para WordPress
Miércoles, 06 Mayo 2015 22:06

Liberado VirtueMart 3.0.9 versión de seguridad

Escrito por 
CMS:  Joomla! |  Versión:  2.5/3.x |  Nivel de dificultad:  Básico |  Tiempo estimado de lectura:  5 minutos


Liberado VirtueMart 3.0.9 versión de seguridadEl equipo de desarrollo de VirtueMart ha liberado la versión 3.0.9 compatible con Joomla 2.5 y 3.4.1, (recomendada para Joomla 3.4.x) siendo una versión de seguridad a la que se debe actualizar a la mayor brevedad.

VirtueMart es auditado por diferentes empresas de seguridad y es de agradecer la colaboración de estas empresas que encontraron la vulnerabilidad XSS persistente que podría permitir ataques en versiones de VirtueMart 3.0.8, por lo que la nueva versión ya incorpora la corrección.

La vulnerabilidad descubierta por Fortinet's FortiGuard Labs con el número CVE-2015-3619 es un ataque XSS persistente. Contrariamente a lo que seria una vulnerabilidad XSS no persistente, este tipo de ataque puede ser ejecutado con la interacción casi nula por parte del administrador.

El problema existe debido a la información sobre herramientas javascript, que codifican automáticamente el valor DOM. Así que, en determinadas circunstancias es posible utilizar una combinación de doble codificación de first_name, last_name y company para crear un javascript.

El archivo javascritp corregido es vm2admin.js.

El resto de soluciones son más complejas y en diferentes archivos para evitar el problema en el futuro:

Desde el equipo de desarrollo de VirtueMart se recomienda que instalaciones que trabajen con multiidiomas se mantengan en Joomla 2.5.28 y no actualicen a Joomla 3.4.x para hacer uso de VirtueMart, derivado de los problemas que las versiones STS (corta duración) están causando en tiendas con esta característica nativa de Joomla 3.x habilitada, al menos mientras no haya ramas LTS (larga duración) estables liberadas como Joomla 3.4 o 3.5.

¿Quieres actualizar de VirtueMart 2.6.x a la versión estable 2.6.18 en Joomla 2.5.28? revisa el siguiente artículo de nuestro Blog.

El equipo de soporte de VirtueMart seguirá dando soporte sobre la versión 2.6.x. ya que de momento no hay un tiempo de fin de vida establecido (EOL = End-of-life), pero se destaca que las nuevas características se encontrarán en VirtueMart 3. La actualización a VirtueMart 2.6.18 debe ser muy fácil desde el Gestor de Extensiones, Actualizar.

Descargas

  • La versión 3.0.9 contiene correcciones para las versiones anteriores para Joomla 3.4.x

Correcciones y características añadidas en VirtueMart 3.0.9:

  • Clasificación de pedidos "pedido, nombre", si está disponible, por el nombre.
  • Corregido que si un producto tiene más de una categoría y no está publicada no suceda que la categoría seleccionada no se muestre.
  • Cambiados permisos de vendedores y compradores; esto significa que si un proveedor cambiarse a comprador podría administrar la tienda.
  • Sustituida serialización de Klarna contra json_encode.
  • Se ha incorporado la opción de añadir archivos javascript en línea (a veces más fácil con ajax).
  • Añadir al carrito ahora se puede detener por otros javascript usando e.stopSendtocart==true.
  • Añadida prueba en All in One (AIO) para prevenir página en blanco debido a una instalación de VirtueMart adecuada.

Para sitios en producción con VirtueMart es importante realizar una copia de seguridad [1], [2], [3] antes de proceder con la actualización, desde el propio componente VirtueMart.

Para usuarios de Packs de Webempresa, recomendamos consultar siempre antes de actualizar a la nueva versión.

Agradecer desde aquí el trabajo de Max Milbers y su equipo que a través de VirtueMart permiten a millones de sitios web trabajar en Joomla con el carrito de compras más conocido y usado para este CMS.



¿Te ha resultado interesante este artículo?

Suscríbete para recibir consejos exclusivos para WordPress, Joomla y PrestaShop



Luis Méndez Alejo

Miembro del equipo técnico de Webempresa.
Coordinador de contenidos en el Blog y en Youtube.
Google+


Plugin Optimización de Imágenes Gratuito para WordPress