Nieuwierzytelniony SQL injection w Joomli – możliwość przejęcia sesji administratora

22 października 2015, 20:22 | W biegu | komentarze 3
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Twórcy Joomli chwalą się: „ponad 50 milionów pobrań”. My dodamy – dzisiaj wiele milionów z nich ma nieuwierzytelniony błąd SQL injection umożliwiający na pełną kompromitację systemu.

22 października twórcy tego popularnego CMS-a, wypuścili łatę wersję 3.4.5 Joomli, łatając m.in. podatność SQL injection (podatne są wersje od 3.2.0 do 3.4.4).

Odkrywcy podatności – badacze z Trustwave – piszą tak:

CVE-2015-7857 enables an unauthorized remote user to gain administrator privileges by hijacking the administrator session. Following exploitation of the vulnerability, the attacker may gain full control of the web site and execute additional attacks.

Zachęcamy zatem do zainstalowania nowej wersji Joomli, zanim pojawią się zautomatyzowane ataki przejmujące kontrolę nad Waszymi witrynami.

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. pawel

    ten serwis stoi na wordpress’ie ile dziur w ciagu ostatnich 3-4 miesiecy łatali ???

    Odpowiedz
    • W samym WP to nieuwierzytelnionych SQLi / OS exec to nie było chyba z kilka dobrych lat.

      Odpowiedz

Odpowiedz