Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

18/03/2011

Inyección SQL en Joomla 1.6

Se ha publicado una vulnerabilidad de inyección SQL que afecta a la rama 1.6.0 del popular gestor de contenidos Joomla. El fallo ha sido descubierto por Aung Khant que forma parte de 'YGN Ethical Hacker Group'.

Joomla es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de contenidos en un objetivo muy popular para que los atacantes.
 
El fallo fue puesto en conocimiento de Joomla el pasado 24 de enero y tuvo que esperar hasta principios de marzo para que fuera publicada una actualización que solucionase este fallo de seguridad, concretamente la versión 1.6.1. El grupo ha esperado una semana desde la publicación de la actualización para hacer público el fallo, dando este plazo para que los usuarios lleven a cabo la actualización del mismo.

Sistemas Afectados:

Joomla! 1.6.x

Referencias:

None

Solución:

Se recomienda la actualización del gestor de contenidos desde la web oficial de Joomla
http://www.joomla.org/download.html
 
o desde su web en España:
http://www.joomlaspanish.org/

Notas:

http://bl0g.yehg.net/2011/03/joomla-160-sql-injection-vulnerability.html
http://www.hispasec.com/unaaldia/4527

CSIRT-CV