Xakep #305. Многошаговые SQL-инъекции
Специалист итальянской компании Hacktive Security обнаружил опасную уязвимость, которая распространяется на все версии Joomla с 3.0.0 до 3.4.6, выпущенные в период с сентября 2012 года до декабря 2015 года. Исследователь уже опубликовал в открытом доступе не только детальную информацию о баге, но PoC-эксплоит для него.
Эксперт пишет, что уязвимость очень похожа на старую проблему CVE-2015-8562 и тоже допускает инъекции PHP объектов, что в итоге может приводить к удаленному выполнению произвольного кода. Так, уязвимость можно эксплуатировать через форму входа в систему Joomla CMS, что позволит атакующим выполнить код на сервере сайта.
Напомню, что CVE-2015-8562 – известная по сей день проблема, обнаруженная в 2015 году. Тогда ей активно злоупотребляли злоумышленники, и порой специалисты фиксировали до 20 000 атак в день.
К счастью, свежий баг, найденный экспертом Hacktive Security, затрагивает только сайты под управлением Joomla 3.x, тогда как CVE-2015-8562 представляла опасность для всех версий Joomla доступных в то время — 1.5.x, 2.x и 3.x. Впрочем, если старый баг работал только с PHP старше версий 5.4.45, 5.5.29 или 5.6.13, то новая уязвимость полностью независима от окружения.
Судя по всему, разработчики Joomla устранили проблему, обнаруженную Hacktive Security, когда исправили уже упомянутую уязвимость CVE-2015-8562. Таким образом, обновления до Joomla 3.4.7 или новее будет достаточно для предотвращения атак (текущая версия Joomla -- 3.9.12). Это может быть полезно владельцам сайтов, которые намеренно используют устаревшие версии CMS из-за несовместимости плагинов и опасаясь того, что обновления могут привести к "поломке" ресурса (хотя это никак нельзя назвать хорошей практикой).
Пример эксплуатации уязвимости на практике можно увидеть ниже.