• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Уязвимость в Joomla

ВАЖНО Уязвимость в Joomla

Всем привет !

Чот прослоупочил, а всем пофиг...

Тем не менее запощу здесь, уязвимость 25 октября...

Разработчики свободной системы управления web-контентом Joomla опубликовали экстренное обновление 3.6.4, в котором устранены две уязвимости, которым присвоен наивысший уровень опасности. Первая уязвимость (CVE-2016-8870) позволяет зарегистрировать на сайте новую учётную запись, даже если регистрация новых пользователей запрещена в настройках. Вторая уязвимость (CVE-2016-8869) позволяет любому внешнему посетителю создать нового пользователя и добавить его в любую группу доступа, в том числе передать ему права администратора. Dmeh-Smeh-Smeh!!!

Проблемы проявляются в Joomla, начиная с выпуска 3.4.4, и вызваны оставлением в коде доступного для внешних обращений и не требующего аутентификации обработчика для регистрации новых пользователей.

В частности в классе UsersModelRegistration был оставлен метод register, который дублирует аналогичный метод в классе UsersControllerRegistration, но в отличие от него не проверяет разрешение регистрации в настройках и использует собственный метод validate, содержащий недоработку, позволяющую передать произвольные дополнительные параметры без проверки и переопределить присваиваемый по умолчанию список групп и идентификатор пользователя.

Подробно на Хакере:1day-взлом Joomla: создаем левые аккаунты и повышаем привилегии - «Хакер»
Автор
X-Shar
Просмотры
906
Первый выпуск
Обновление
Рейтинг
0.00 звёзд Оценок: 0
Верх Низ