Desde que fue detectada la vulnerabilidad por Cross Site Scripting de uno de los más importantes CCK para Joomla! el pasado día 8 de junio de 2014, todavía no existe una versión nueva de K2.
Recordemos que este CCK es uno de los más instalados en Joomla! 2.5 y Joomla! 3.x, con más de un millón de descargas. Además, alrededor de él se forja una gran variedad de añadidos (plugins, módulos y otros componentes) por lo que afecta a muchas plataformas y a su seguridad.
Por el momento ha sido retirado del JED -Joomla! Extensions Directory- al incumplir una de las premisas para estar en el directorio de Joomla!.
Pero hace apenas unos minutos, desde el equipo de K2, aseguran -resumido por N&S- que el problema de XSS detectado sólo puede ser aplicado por el propio administrador y sólo para la creación de directorios en el media manager de K2, por lo que no hay riesgo y no afecta a la seguridad del CCK.
Instan al equipo de Joomla! a intentar "colar" un script a través del fallo, y están algo indignados por que se haya retirado del JED "sin motivo justificado" cuando no creen que afecte a la seguridad.
Suponemos que en breve tendremos una resolución al respecto. Les mantendremos informados.
