O pesquisador da iBLISS, Alexandro Silva (Alexos), encontrou recentemente uma vulnerabilidade a ataques Cross-site Scripting (XSS) na versão 0.8.0 da classe PHP IDNA Convert, desenvolvida pela alemã phlyLabs.

A classe PHP IDNA Convert é responsável pela codificação e decodificação entre domínios Punycode e UTF-8 (codificação de caracteres ou encoding mais utilizada no mundo).

Como isso afeta os usuários do Joomla?

A versão vulnerável do PHP IDNA Convert já vem, por padrão, instalada no diretório de bibliotecas nas versões 3.1.2 e 3.2 do Joomla. Portanto, os usuários dessas versões do CMS Joomla também estão vulneráveis.

Veja referências:
http://docs.joomla.org/External_Libraries_in_Joomla
https://github.com/joomla/joomla-cms/tree/master/libraries/idna_convert

Condição atual da falha

A vulnerabilidade, documentada como CVE-2013-5950, foi corrigida e uma nova versão (0.8.1) da classe PHP IDNA Convert está disponível para download: http://phlymail.com/en/downloads/idna-convert.html.

Acesse o registro da falha no Bugtraq Disclosure.

Aos usuários do Joomla…

Os usuários podem mitigar a vulnerabilidade excluindo a versão vulnerável do PHP IDNA Convert do diretório libraries ou atualizando-o para a versão 0.8.1.

Faca o download da versão atualizada do PHP IDNA Convert (versão 0.8.1) no link:
http://phlymail.com/en/downloads/idna-convert.html.