Уязвимость в Joomla позволяет злоумышленнику получить права администратора

image

Теги: Joomla, уязвимость, SQL-инъекции

Брешь позволяет удаленному пользователю осуществить SQL-инъекцию и повысить привилегии.

Разработчики популярной системы управления контентом Joomla выпустили исправление безопасности, устраняющее три уязвимости. Одна из брешей позволяла злоумышленнику удаленно повысить привилегии с помощью SQL-инъекции и получить права администратора на большинстве web-сайтов под управлением Joomla.

Уязвимость повышения привилегий была обнаружена специалистом Trustwave Асафом Орпани (Asaf Orpani) и экспертом PerimeterX Нетанелем Рубином (Netanel Rubin). В блоге Trustwave Орпани опубликовал подробную информацию о бреши и уточнил, что уязвимость также может затронуть ресурсы под управлением платформы VirtueMart, поскольку она основана на уязвимой версии модуля ядра Joomla.

«Поскольку брешь была обнаружена в модуле ядра, не требующем дополнений, все web-сайты на основе Joomla 3.2 и более поздних версий уязвимы к атаке. В связи с этим все ресурсы под управлением VirtueMart также могут быть скомпрометированы», - сообщаил эксперт.

Оставшиеся две уязвимости представляют собой достаточно распространенные ошибки контроля доступа. Проэксплуатировав бреши, удаленный пользователь может раскрыть важные данные.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.