Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Corretta vulnerabilità critica zero-day in Joomla!

CMS  Joomla!  object injection  remote code execution   mercoledì, 16 dicembre 2015

Il 14 dicembre scorso è stato rilasciato un aggiornamento del CMS Joomla! che risolve una vulnerabilità critica zero-day (CVE-2015-8562) che, se sfruttata, può causare l’esecuzione di codice da remoto.

La vulnerabilità, di tipo object injection, è legata ad un problema di convalida dell’input nel codice di gestione delle sessioni del CMS e può essere sfruttata mediante l’invio di una stringa User-Agent appositamente predisposta. L’attacco consente di creare una backdoor all’interno del database di Joomla! attraverso la quale vengono eseguiti sul server bersaglio comandi arbitrari inviati da remoto.

Stando a quanto riportato dal blog del vendor di sicurezza Sucuri, questa vulnerabilità è già attivamente sfruttata in-the-wild.

Risultano affette da questa vulnerabilità tutte le versioni di Joomla! dalla 1.5.0 alla 3.4.5.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare con urgenza la propria piattaforma alla versione 3.4.6.

Vista la criticità di questa falla, il Joomla! Project ha messo a disposizione patch urgenti anche per le versioni EOL (end of life) 1.5 e 2.5 di questo CMS.

Per maggiori dettagli sul problema di sicurezza risolto in Joomla! 3.4.6 è possibile consultare il bollettino relativo all’aggiornamento sul sito Joomla! Developer Network (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza per Adobe Flash Player e Adobe Application Manager

11 settembre 2019

Adobe ha rilasciato aggiornamenti di sicurezza per Flash Player e per l'installer di Adobe Application Manager. Leggi tutto

Vulnerabilità critica in Exim consente esecuzione di codice da remoto

9 settembre 2019

È stata svelata la presenza di una vulnerabilità critica in Exim che potrebbe essere sfruttata da un attaccante remoto non autenticato per eseguire codice arbitrario sui server affetti.Leggi tutto

Risolte sette vulnerabilità in WordPress 5.2.3

6 settembre 2019

È stato rilasciato un aggiornamento di sicurezza che risolve sette vulnerabilità del noto CMS WordPress, presenti nelle versioni fino alla 5.2.2.Leggi tutto