Покриха сериозна уязвимост в Joomla

0
66


В четвъртък беше пуснато важно обновление, засягащо сигурността на системата за управление на съдържанието (CMS) Joomla, което засяга уязвимост, свързана със SQL-инжектиране и представлява повишен риск, като експлоатирането й може да доведе до извличане на информация от базите данни на сайтове задвижвани от популярната платформа.

Joomla Project издадоха версии 3.2.3 и 2.15.19 в края на седмицата, като и двете обновления са насочени към две XSS-уязвимости в ключови компоненти на платформата, но 3.2.3 е адресиран и към уязвимостта свързана с опасност от SQL-инжектиране, която бе открита в началото на миналия месец, а така също уязвимост, която отваря възможността за осъществяването на неоторизирано вписване (login) в базирания на Gmail оторизационен плъгин.

В бюлетина по сигурността, издаден от Joomla липсват подробни технически данни за обновлението. Тук се посочва основно, степента на риск при експлоатиране на уязвимостта, която е висока и това, че засяга версиите от 3.1.0 до 3.2.2 включително.

Даниел Сид от Succuri, потвърждава в имейл за Computerworld, че въпросната уязвимост е именно тази открита през февруари и публикувана в exploit-db, като изразява смущението си от това, че на хората, които се грижат за сигурността на платформата им е отнело толкова много време, за да издадат обновление, което да я покрие. От Joomla Project засега не са отговорили на запитване от страна на медията защо се е случило това. Успешното експлоатиране на уязвимостта, съобщават пък от Secunia, изисква наличието на модула Similar Tags в сайта. Модулът е включен по подразбиране в платформата, припомня Лукиан Константин от медията.

SQL-уязвимостта позволява инжектирането на код в случая, а манипулирането на SELECT заявките, благодарение, на което атакуващата страна извлича информация от базата данни, в това число потребителски имена и хеширани пароли, обяснява Сид.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари