Escanear gratis
HIGHCVE-2020-37224CVSS 7.1

CVE-2020-37224: SQL Injection en Joomla J2 JOBS 1.3.0

Plataforma

joomla

Componente

joomla

Ver en NVD
Guardar

La vulnerabilidad CVE-2020-37224 es una inyección SQL detectada en la extensión Joomla J2 JOBS versión 1.3.0. Esta falla permite a atacantes autenticados manipular consultas a la base de datos mediante la inyección de código SQL en el parámetro 'sortby'. La explotación exitosa puede resultar en la extracción de información sensible de la base de datos. Se recomienda actualizar a una versión corregida o aplicar medidas de mitigación.

Joomla

Detecta esta CVE en tu proyecto

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratis

Impacto y Escenarios de Ataque

Un atacante que explote esta vulnerabilidad puede obtener acceso no autorizado a la base de datos de la instalación de Joomla. Al inyectar código SQL malicioso a través del parámetro 'sortby' en las solicitudes POST al panel de administración, el atacante puede ejecutar consultas arbitrarias. Esto podría permitir la extracción de nombres de usuario, contraseñas, información de clientes, datos de configuración y otros datos confidenciales almacenados en la base de datos. La severidad de esta vulnerabilidad radica en la posibilidad de comprometer la integridad y confidencialidad de los datos almacenados, así como potencialmente obtener control sobre el servidor Joomla.

Contexto de Explotación

La vulnerabilidad CVE-2020-37224 fue publicada el 13 de mayo de 2026. La probabilidad de explotación se considera media, dado que requiere autenticación. No se han reportado campañas de explotación activas a la fecha. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La vulnerabilidad está documentada en el NVD (National Vulnerability Database).

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N7.1HIGHAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityLowRiesgo de modificación no autorizada de datosAvailabilityNoneRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Bajo — el atacante puede modificar algunos datos con alcance limitado.
Availability
Ninguno — sin impacto en disponibilidad.

Clasificación de Debilidad (CWE)

CWE-89

Cronología

  1. Publicada

Mitigación y Workarounds

La mitigación principal para CVE-2020-37224 es actualizar la extensión Joomla J2 JOBS a una versión corregida, una vez que esté disponible. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la validación y sanitización rigurosa de todas las entradas de usuario, especialmente el parámetro 'sortby'. Además, se puede considerar el uso de un firewall de aplicaciones web (WAF) para bloquear solicitudes maliciosas. Revise los registros del servidor en busca de patrones de inyección SQL.

Cómo corregirlotraduciendo…

Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.

Preguntas frecuentes

¿Qué es CVE-2020-37224 — Inyección SQL en Joomla J2 JOBS 1.3.0?

CVE-2020-37224 es una vulnerabilidad de inyección SQL en la extensión Joomla J2 JOBS versión 1.3.0. Permite a atacantes autenticados manipular consultas de base de datos a través del parámetro 'sortby'.

¿Estoy afectado por CVE-2020-37224 en Joomla J2 JOBS 1.3.0?

Si está utilizando Joomla y tiene instalada la extensión J2 JOBS versión 1.3.0, es probable que esté afectado. Verifique la versión de su extensión y aplique las mitigaciones necesarias.

¿Cómo soluciono CVE-2020-37224 en Joomla J2 JOBS 1.3.0?

La solución recomendada es actualizar la extensión J2 JOBS a una versión corregida. Si la actualización no es posible, implemente validación de entradas y considere el uso de un WAF.

¿Se está explotando activamente CVE-2020-37224?

A la fecha, no se han reportado campañas de explotación activas, pero se recomienda monitorear las fuentes de inteligencia de amenazas.

¿Dónde puedo encontrar el aviso oficial de Joomla para CVE-2020-37224?

Consulte el NVD (National Vulnerability Database) para obtener información y enlaces a los avisos oficiales relacionados con CVE-2020-37224.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
Joomla

Detecta esta CVE en tu proyecto

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratis
liveescaneo gratuito

Escanea tu proyecto Joomla ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...