פרצת אבטחה בתוסף HD במערכת Joomla

מנהל מערכת

10 שנים ago

Categories: סייבר ואבטחת מידע

Security alert: Joomla HD FLV 2.1.0.1

פרצת אבטחה מסוג SQL Injection בתוסף בשם "HD FLV" (מעל ל-80,000 הורדות לפי הנתונים באתר המקור) עבור מערכת Joomla.

הפרצה משפיעה על כל גרסאות התוסף הקודמות לגרסה 2.1.0.1.

מהות הפריצה

באג של כותבי התוסף בו הם לא מבצעים סניטציה למשתנה id, מה שבעצם מאפשר הזרקה של נתונים.

ניתן לראות הדגמה של הפרצה בסרטון YouTube הבא:

כיצד אני יוכל לדעת אם אני חשוף?

לצערי אין כלי online קיים לביצוע הבדיקה, אך כן ניתן להתבסס על ה-POC הקיים לצורך ווידוא.

http://www.target.com/index.php?option=com_hdflvplayer&id=Select * from

כיצד מתגוננים?

עדכון לגרסה האחרונה של התוסף תתקן את הבעיה, ניתן להורידה ישירות מאתר התוספות של Joomla:
http://extensions.joomla.org/extension/hd-flv-player

לקוחות SPD כבר מוגנים כברירת מחדל באמצעות מנגנון ה-SWAF שלנו.

נעים להכיר: php open_basedir »

« Magento shoplift

Tags: exploitjoomlasql injectionאבטחת מידע

מנהל מערכת: חלק מחברת SPD Hosting החל משנת 2006. כחלק מהתפקידים שלי בחברה, אני אחראי על תוכניות ההכשרה של עובדים חדשים. חי ונושם Hosting, קוד פתוח ו-Linux (ויש גם מילה טובה ל-Windows)