Joomla 3 Tutorial #14: Contact Forms
Kritična ranjivost u popularnom proširenju za e-trgovinu za sustav upravljanja sadržajem Joomla omogućuje zlonamjernim korisnicima da dobiju privilegije superupravilnika za web stranice koje pokreću softver.
VirtueMart proširenje, koje korisnicima omogućuje postavljanje up trgovinama na svojim web stranicama, preuzeto je više od 3,5 milijuna puta, izjavio je Marc-Alexandre Montpas, istraživač u web-sigurnosnoj tvrtki Sucuri, u srijedu na blogu. "Uz super-admin pristup, napadač ima potpunu kontrolu nad stranicama i bazom podataka."
Ovo izdanje otkriveno je prošlog tjedna i popravljeno je u VirtueMart 2.6.10, izdanom 4. rujna. VirtueMart stranica u Joomla ekstenzijama katalog savjetuje korisnicima da "svi koji koriste verziju manju od 2.6.10 trebaju se ažurirati što je prije moguće iz sigurnosnih razloga."
[Dodatna čitanja: Kako ukloniti zlonamjerni softver s vašeg Windows računala]Sucuri je izvorno objavio tehničke detalje o
"VirtueMart koristi Joomla's JUser klase 'vezati' i 'save' metode za obradu podataka o korisničkim računima", rekao je Montpas. "To nije problem samo po sebi, ali ova klasa je vrlo lukav i lako je napraviti pogreške. Mi zapravo mislimo da je problem na samoj Joomla klasi, pa više nećemo otkriti nikakve detalje. "
Razvojni timovi VirtueMart osjećaju isto. Oni nisu odobrili Sucurinu odluku da objavljuju detalje, nazvavši ga "amaterskim" na Twitteru i rekli da VirtueMart neće biti jedina komponenta s ovim problemom.
Web stranica VirtueMart sadrži dugi popis online trgovina izgrađenih s proširenjem i to će vjerojatno potrajati neko vrijeme sve dok njihovi vlasnici ne ažuriraju sve, stavljajući pritom osjetljive podatke koji su pohranjeni u njihovim bazama podataka u međuvremenu.
"Veliki post, ali možete li nas možda malo gurnuti prema mjestu sigurnosnog rizika , "Jedan korisnik pod nazivom Martijn Faber, napisao je u komentaru na Sucuri blog post. "Trenutno imamo neke projekte u [VirtueMart] 2.6.8 koji se ne mogu jednostavno ažurirati. Moramo to riješiti rukom (redak po redak). "
" Imam isti problem kao Martijn, možete li nam dati neki popis ažuriranih VM jezgara? ", Rekao je još jedan korisnik.
Kritična ranjivost klijenata Gita dovodi u pitanje rizike za razvojne programere
Zlonamjerni poslužitelji s koda za pohranu mogu izvršiti neželjene naredbe na strojevima klijenta koji su u interakciji s njima
Ranjivost u popularnom programu za pokretanje dovodi do ugroženih Linux računala
Pritiskom tipke povratnog koda 28 puta može se zaobići zaštita lozinke Grub2 bootloadera i dopustiti hakeru da instalira zlonamjerni softver na zaključani Linux sustav.
