Разработчики Joomla выпустили новую версию CMS 3.6.5, в которой исправили ряд проблем, одна из которых фактически позволяет перехватить управление над чужим аккаунтом.

Уязвимость получила идентификатор CVE-2016-9838 и высокую степень важности. Баг существует в коде Joomla давно, не менее пяти лет. Из-за этого уязвимость представляет опасность для сайтов, работающих под управлением версий от 1.6.0 до 3.6.4.

Баг обнаружил автор ][, aLLy, в ходе работы над статьей «1day-взлом Joomla: создаем левые аккаунты и повышаем привилегии». Проблема позволяет воспользоваться недостаточной фильтрацией данных, что позволяет загрузить на сервер вредоносный код и изменить настройки существующих аккаунтов. В частности, атакующий может изменить юзернеймы, сбросить пароли от аккаунтов, а также переназначить права групп. Кроме того, атака может помочь скомпрометировать CMS.

Также в релизе 3.6.5 были устранены shell upload уязвимость и баг, допускающий раскрытие данных. Обе эти проблемы получили статус низкоприоритетных.

Всем администраторам рекомендуется обновить Joomla как можно быстрее, так как хакеры очень быстро возьмут CVE-2016-9838 на вооружение. Как недавно отмечал глава Sucuri Дэниэл Сид (Daniel Cid), уже через неделю после публикации информации о подобных багах, любой необновленный сайт, скорее всего, скомпрометирован.

5 комментариев

  1. catw

    15.12.2016 at 08:39

    Поделитесь фиксом для жумлы 2.5.х (последней из 2.x ветки), на офсайте нет инфы.

  2. pshik

    15.12.2016 at 11:37

    Согласен, что делать тем у кого стоит джумла 2.5.х… не имею возможности обновиться до джумлы 3….

  3. Pikcher

    18.12.2016 at 16:52

    Всё херня, забей!

Оставить мнение

Check Also

Necurs, крупнейший спамерский ботнет в мире, обзавелся функциональностью для DDoS-атак

Ботнет Necurs, насчитывающий порядка 5 млн зараженных устройств, теперь имеет модуль для о…