Què és el Clickjacking? El terme clickjacking va ser encunyat per Jeremiah Grossman i Robert Hansen en 2008 (ja en parlàrem ací en Hackplayers). També conegut com UI redressing, es resumix en el següent: un usuari fa clic sobre un enllaç o botó que està veient i en realitat ho fa sobre un altre enllaç controlat per tercers. El clickjacking pot ser entés com una variant del problema de reemplaçament confús i per a referir-se a qualsevol tipus de tècnica que implique que un usuari interaccione amb una web creient que en realitat ho està fent amb una altra.

CSRF és una tècnica que permetria realitzar peticions HTTP sense una correcta validació. Per exemple, imaginem que un usuari es troba validat en una pàgina que necessita autenticació. Des del navegador, visita una altra web que amaga una petició HTTP cap a eixa pàgina que necessita validació. Eixa petició HTTP, en forma d’enllaç, la carrega la víctima sense saber-ho i realitza una acció sobre la pàgina en què es troba autenticada. Açò seria una fallada de CSRF per part de la pàgina que necessita autenticació  ja que no valida correctament que les peticions provinguen del seu propi domini. Per a impedir açò, les pàgines solen introduir un sistema de control que impedix que una petició des d’una altra web siga vàlida. Al seu torn, per a eludir-ho, els atacants utilitzen tècniques com clickjacking (un terme encunyat en 2008), que permet realitzar atacs CSRF encara que s’hagen implementat certes tècniques per a evitar-ho.

El problema és que Joomla! permet a qualsevol usuari realitzar accions a través de peticions HTTP que no són convenientment validades. Si un usuari visita un enllaç especialment manipulat cap a una plataforma Joomla!, es podrien realitzar accions sobre el portal i l’atacant podria així eludir restriccions de seguretat. No s’han donat més detalls sobre la vulnerabilitat, però probablement permetria que un usuari suplantara un altre sense necessitat de conéixer la contrasenya.