NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Jommla 0-day – zdalne wykonanie kodu
Developerzy (i użytkownicy) Joomli nie mają ostatnimi czasy lekko, tym razem pokazał się 0-day (a w zasadzie był takim przez ostatnie parę dni) umożliwiający zdalne wykonanie kodu na serwerze.
Podatność co ciekawe była wykorzystywana przez odpowiednie ustawienie nagłówka User-Agent w przeglądarce (czy skrypcie) atakującego.
Luka została oczywiście oznaczona jako Critical, a co więcej załatana również w wersjach EOL (End-Of-Life) Joomli.
–Michał Sajdak
Widziałem to jakiś rok temu, poprzez odebranie strony php’owym proxy wtedy nagłówek pięknie prosił o uzupełnienie zmiennej user agent :p
a to sie nie nazywa Joomla! ? – literówka w tytule