Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/03/2011
Injecció SQL en Joomla 1.6
S'ha publicat una vulnerabilitat d'injecció SQL, que afecta la branca 1.6.0 del popular gestor de continguts Joomla. La fallada ha estat descoberta per Aung Khant, que forma part de 'YGN Ethical Hacker Group'.Joomla és un popular gestor de continguts en codi obert, que compta amb una gran quantitat de plantilles i components per a que un usuari puga utilitzar-los per a implementar, de manera ràpida una aplicació web. Aquests components són programats per tot tipus de desenvolupadors. Aquest fet, unit a la seua popularitat, converteixen el gestor de continguts en un objectiu molt popular per als atacants.
La fallada, posada en coneixement de Joomla el passat 24 de gener, va haver d'esperar fins a principis de març perquè fóra publicada una actualització que solucionarà aquesta fallada de seguretat, concretament la versió 1.6.1. El grup ha esperat una setmana des de la publicació de l'actualització per a fer pública la fallada, i donar aquest termini perquè els usuaris duguen a terme la seua actualització.
Sistemes Afectats:Joomla! 1.6.x
Referències:None
Solució:Es recomana l'actualització del gestor de continguts, des de la web oficial de Joomla
http://www.joomla.org/download.html
O des del seu web a Espanya:
http://www.joomlaspanish.org/
Es recomana l'actualització del gestor de continguts, des de la web oficial de Joomla
http://bl0g.yehg.net/2011/03/joomla-160-sql-injection-vulnerability.html
http://www.hispasec.com/unaaldia/4527