Meerdere beveiligingslekken in Joomla! CMS gedicht

Donderdag zijn twee updates beschikbaar gemaakt voor het Joomla contentmanagementsysteem (CMS), die meerdere beveiligingslekken in de software moeten dichten. Daarbij zou het gaan om tenminste één ernstig lek, dat websites vatbaar maakt voor SQL-injectie. Dat schijft IT-beveiligingsbedrijf Secunia in een rapport.

Voor zowel de tweede als de derde generatie van het Joomla CMS zijn updates beschikbaar gemaakt, te weten versies 3.2.3 and 2.5.19. Volgens een melding op het Joomla! Developer Network, werd het meest ernstige lek in versies 3.1.0 tot en met 3.2.2 reeds op 6 februari ontdekt.

Secunia was geschokt door het feit dat het een maand heeft geduurd voordat Joomla met een oplossing kwam, aldus Daniel Cid, CTO van het bedrijf, tegenover NetworkWorld. De recent gepubliceerde patches zouden volgens hen exact het lek dichten waarvoor een maand eerder al een exploit verscheen.

Naast twee Cross-site scripting (XSS) gevoeligheden, dicht versie 3.2.3 ook een lek in een plug-in waarmee gebruikers via hun Gmail-account op het Joomla CMS kunnen inloggen. Kwaadwillenden zouden het normaliter benodigde wachtwoord eenvoudig kunnen omzeilen door een e-mailadres bij Gmail aan te maken, gebruikmakend van de in Joomla gekozen gebruikersnaam.

Met het e-mailadres siteadministratie@gmail.com zou direct toegang verkregen kunnen worden tot het "siteadministratie"-account in een Joomla CMS. Deze plug-in is echter niet standaard geactiveerd.

Gebruikers van Joomla 3.2 en 2.5 krijgen het advies om de updates zo snel mogelijk uit te voeren.

Reacties (0)

Er zijn nog geen reacties geplaatst.

Reageren

Reacties worden direct gepubliceerd. We vertrouwen er dan ook op dat je reactie relevant is, geen reclame-uitingen bevat, en de algemeen geldende fatsoensregels niet overschrijdt. Je e-mailadres wordt niet gepubliceerd.