Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Corretta vulnerabilità critica zero-day in Joomla!

CMS  Joomla!  object injection  remote code execution   mercoledì, 16 dicembre 2015

Il 14 dicembre scorso è stato rilasciato un aggiornamento del CMS Joomla! che risolve una vulnerabilità critica zero-day (CVE-2015-8562) che, se sfruttata, può causare l’esecuzione di codice da remoto.

La vulnerabilità, di tipo object injection, è legata ad un problema di convalida dell’input nel codice di gestione delle sessioni del CMS e può essere sfruttata mediante l’invio di una stringa User-Agent appositamente predisposta. L’attacco consente di creare una backdoor all’interno del database di Joomla! attraverso la quale vengono eseguiti sul server bersaglio comandi arbitrari inviati da remoto.

Stando a quanto riportato dal blog del vendor di sicurezza Sucuri, questa vulnerabilità è già attivamente sfruttata in-the-wild.

Risultano affette da questa vulnerabilità tutte le versioni di Joomla! dalla 1.5.0 alla 3.4.5.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare con urgenza la propria piattaforma alla versione 3.4.6.

Vista la criticità di questa falla, il Joomla! Project ha messo a disposizione patch urgenti anche per le versioni EOL (end of life) 1.5 e 2.5 di questo CMS.

Per maggiori dettagli sul problema di sicurezza risolto in Joomla! 3.4.6 è possibile consultare il bollettino relativo all’aggiornamento sul sito Joomla! Developer Network (in Inglese):

Notizie correlate

Vulnerabilità critiche in VMware vRealize Operations for Horizon Adapter

20 febbraio 2020

VMware ha rilasciato un avviso di sicurezza relativo a vulnerabilità multiple, di cui diverse critiche, nel prodotto vRealize Operations for Horizon Adapter per Windows.Leggi tutto

Aggiornamenti di sicurezza critici per Adobe After Effects e Adobe Media Encoder

20 febbraio 2020

Adobe ha rilasciato aggiornamenti di sicurezza critici per After Effects e Media Encoder. Questi aggiornamenti risolvono due vulnerabilità che possono causare l’esecuzione di codice arbitrario.Leggi tutto

Aggiornamento di sicurezza Android (febbraio 2020)

10 febbraio 2020

Google ha rilasciato l'aggiornamento di sicurezza di febbraio che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto