Joomla!: Vulnerabilidades Críticas Descobertas no Novarain/Tassos Framework

Três vulnerabilidades críticas não autenticadas — leitura arbitrária de arquivos, exclusão arbitrária de arquivos e SQL injection — foram divulgadas no Novarain/Tassos Framework (v4.10.14–v6.0.37). Este é um plugin de sistema compartilhado, presente em cinco extensões Joomla! amplamente utilizadas, como Convert Forms, EngageBox e Advanced Custom Fields. Encadear essas falhas permite a execução remota de código (RCE) confiável e a tomada de controle de contas de administrador, ao despejar sessões ativas de superadministradores via SQLi e, em seguida, autenticar-se para fazer upload de extensões maliciosas. Administradores devem atualizar as extensões afetadas imediatamente ou desabilitar o plugin plg_system_nrframework e restringir o acesso a endpoints com_ajax por meio de regras de WAF.