Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Jommla 0-day – zdalne wykonanie kodu
Developerzy (i użytkownicy) Joomli nie mają ostatnimi czasy lekko, tym razem pokazał się 0-day (a w zasadzie był takim przez ostatnie parę dni) umożliwiający zdalne wykonanie kodu na serwerze.
Podatność co ciekawe była wykorzystywana przez odpowiednie ustawienie nagłówka User-Agent w przeglądarce (czy skrypcie) atakującego.
Luka została oczywiście oznaczona jako Critical, a co więcej załatana również w wersjach EOL (End-Of-Life) Joomli.
–Michał Sajdak
Widziałem to jakiś rok temu, poprzez odebranie strony php’owym proxy wtedy nagłówek pięknie prosił o uzupełnienie zmiennej user agent :p
a to sie nie nazywa Joomla! ? – literówka w tytule