Joomla dicht gevaarlijk beveiligingslek

Toegevoegd door - Ariën -, 5 jaar geleden

Joomla dicht gevaarlijk beveiligingslekDe makers van open-source CMSpakket Joomla hebben recentelijk een patch uitgebracht om een gevaarlijk SQL-lek te dichten. Ze raden iedereen aan om zo spoedig mogelijk te updaten. Het lek zit genesteld in versie 3.2 tot en met 3.4.4 en werd onlangs ontdekt door Trustwave SpiderLabs. Het lek kon volgens de blog van de onderzoekers eenvoudig worden misbruikt om derden toegang te geven tot het volledige beheer van het CMS.

Het probleem zit hem in het bestand /administrator/components/com_contenthistory/models/history.php, waarin data die opgevraagd wordt niet voldoende gefilterd wordt. Ook zijn er enkele fouten in de com_contenthistory- en com_content-functie modules ontdekt waarmee gebruikers onterecht toegang tot delen van Joomla kunnen krijgen die alleen voorbehouden is aan gebruikers met de juiste rechten. Dit lek zit al vanaf versie 3.0 al genesteld in het systeem.

De onderzoekers hebben een blog gepubliceerd met meer informatie over het lek.

Gebruikers wordt aangeraden om zo snel mogelijk het lek te dichten door Joomla 3.4.5 te upgraden.

Gerelateerde nieuwsberichten

04/01/2018 PhpMyAdmin was vatbaar voor ernstig veiligheidslek
12/08/2017 Versiebeheersystemen getroffen door lek
25/10/2016 Ontwikkelaars Joomla brengen patch uit voor kritiek lek

 

Er zijn 5 reacties op 'Joomla dicht gevaarlijk beveiligingslek'

PHP hulp
PHP hulp
0 seconden vanaf nu
 

Gesponsorde koppelingen
Eddy E
Eddy E
5 jaar geleden
 
0 +1 -0 -1
Ik onderhoud (qua inhoud) een website van de kerk... dus even kijken.... die draait nog op 1.5......

Het is maar goed dat er een nieuwe website komt. Die zal draaien op Wordpress....


5 jaar geleden
 
0 +1 -0 -1
Sorry maar ik zie geen verbetering in de overgang naar Wordpress, lekken zit in beide.
- Ariën -
- Ariën -
5 jaar geleden
 
0 +1 -0 -1
Maar Wordpress kent een automatische updatechecker. Hoe zit dat met Joomla?
Chris Avontuur
Chris Avontuur
5 jaar geleden
 
0 +1 -0 -1
Joomla heeft dat ook.. volgens mij vanaf 2.5
Update: nee sorry vanaf 1.6
PHP hulp
PHP hulp
0 seconden vanaf nu
 

Gesponsorde koppelingen
Thomas van den Heuvel
Thomas van den Heuvel
5 jaar geleden
 
0 +1 -0 -1
Toen ik (vroegah) nog wel eens met Joomla werkte was de technologie-stack van dit pakket al redelijk scheefgegroeid. Zo gebruikte men enerzijds MVC, en anderzijds zat men in de database nog te kloten met textuele keys (in MyISAM tabellen)...

En een SQL injectie, wat genant :).

Somebody forgot to escape their outputs!

Om te reageren heb je een account nodig en je moet ingelogd zijn.

Labels

PHP nieuws opties

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.