Accedi al tuo profilo

Selezione la tua area di interesse

News Recenti

Siti Joomla a rischio SQL Injection. Disponibile la patch

Mag 18, 2017 Marco Schiaffino News, RSS, Vulnerabilità 0

Affetti i siti che usano la versione 3.7.0. Sul sito ufficiale del CMS è disponibile la patch che corregge la vulnerabilità.

Tempo di aggiornamenti per gli utenti Joomla. La nuova versione della piattaforma di Content Management corregge infatti una vulnerabilità che consentirebbe un attacco SQL Injection nei confronti dei siti Web.

La falla (CVE-2017-8917) individuata dal ricercatore di Sucuri Marc-Alexandre Montpas, riguarda un componente che è stato aggiunto a Joomla con l’edizione 3.7.0 e consente un attacco in remoto senza che sia necessario ottenere le credenziali di amministratore del sito.

Come si legge nel report relativo, il componente vulnerabile (com_fields) è infatti esposto “all’esterno” e può quindi essere sfruttato facilmente in remoto. Peggio ancora, secondo i ricercatori l’attacco può essere facilmente automatizzato in modo da colpire tutti i siti vulnerabili raggiungibili sul Web.

Secondo Montpas, il problema riguarda il fatto che gli sviluppatori hanno usato porzioni di codice utilizzate per il back-end in un componente che invece è esposto all’esterno.

Insomma: la comparsa di un exploit che sfrutti questa vulnerabilità avrebbe come conseguenza una vera strage di siti Internet, che potrebbero essere violati con estrema facilità dai pirati informatici.

Considerato che Joomla (al pari di WordPress) viene tenuto costantemente nel mirino dai cyber-criminali che cercano di introdursi in siti Web legittimi per sfruttarli per i loro scopi, la situazione è da “allarme rosso”. L’aggiornamento alla versione 3.7.1 che corregge il bug può essere scaricato a questo indirizzo.

Condividi l'articolo