Σοβαρές ευπάθειες σε plugin της Joomla!

Ο ερευνητής Kasper Bertelsen προειδοποιεί ότι αρκετά τρωτά που ανακάλυψε στο Helpdesk Pro του Joomla, μπορούν να οδηγήσουν σε απομακρυσμένη εκτέλεση κώδικα στους διακομιστές που φιλοξενούν την Web εφαρμογή.joomla

Το Helpdesk Pro είναι μια επέκταση της Joomla που επιτρέπει στους διαχειριστές και στους χρήστες να χρησιμοποιούν tickets υποστήριξης.

Να αναφέρουμε μερικές ιστοσελίδες που χρησιμοποιούν το εν λόγω plugin: το eBay, το αεροδρόμιο του Heathrow, και το Ανώτατο Δικαστήριο της Αυστραλίας.

Οι ευπάθειες ανακαλύφθηκα από τους Simon Rawet, Kristian Varnai, και Gregor Mynarsky, και συμπεριλαμβάνουν: direct object references, cross-site scripting, SQL injection, local file injection, path traversal, and arbitrary file upload.

“[Οι ευπάθειες] αφήνουν τα συστήματα ευάλωτα σε μια μεγάλη ποικιλία τύπων επίθεσης, με αποτέλεσμα την αποκάλυψη δυνητικά ευαίσθητων πληροφοριών, αλλά και στην πλήρη απόκτηση του με αυθαίρετη εκτέλεση κώδικα”, αναφέρουν.

Οι ευπάθειες λειτουργούν γιατί η λήψη συνημμένων και οι υπηρεσίες μεταφόρτωσης δεν περιορίζουν κάποιον από το να κατεβάζει αρχεία.

Έτσι ένας εισβολέας μπορεί να κατεβάσει το αρχείο configuration.php, για παράδειγμα, το οποίο περιέχει ευαίσθητες πληροφορίες, όπως ονόματα χρηστών, ς πρόσβασης της δεδομένων, και τα διαπιστευτήρια της FTP.

Παραπάνω τεχνικές λεπτομέρειες.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).