В расширении Akeeba для CMS устранена брешь

image

Теги: уязвимости в CMS

Эксплуатация уязвимости, просуществовавшей более четырех лет, позволяла злоумышленнику осуществить обход контроля доступа.

Создатели расширения Akeeba для CMS, предназначенного для резервного копирования, исправили в своем продукте опасную брешь. Как следует из записи в блоге компании Sucuri, уязвимость просуществовала более четырех лет, но обнаружили ее только на этой неделе.

Опасности эксплуатации бреши подвергаются только те сайты, использующие в своей работе такие CMS, как WordPress и Joomla с установленным расширением Akeeba. По утверждениям Марка-Александра Монтпаса (Marc-Alexandre Montpas), уязвимость позволяла злоумышленнику обойти контроль доступа.

В частности, в случае успешной эксплуатации бреши атакующий мог получить доступ и скачать резервные копии, пароли и список пользователей сайта. Тем не менее, отмечается, что эксплуатация уязвимости является весьма сложным процессом.

Технически уязвимость присутствует только в сайтах на Joomla с установленным в режиме «активного внешнего и удаленного резервного копирования» Akeeba. Сама проблема существовала из-за того, каким образом осуществлялся процесс аутентификации пользователя при получении зашифрованного запроса.

Несмотря на все утверждения Монтпаса о сложности эксплуатации бреши, создатели Akeeba практически сразу же выпустили обновление (версия 3.11.x для Joomla).

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.