Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza critico per il CMS Joomla!

CMS  Joomla!  SQL injection   giovedì, 18 maggio 2017

Vulnerabilità di Joomla!Il 17 maggio il Joomla! Project ha rilasciato la versione 3.7.1 del suo CMS che risolve una vulnerabilità critica di tipo SQL injection (CVE-2017-8917) che potrebbe consentire ad un attaccante remoto non autenticato di eseguire comandi SQL arbitrari.

Se sfruttata con successo, questa vulnerabilità può consentire all’attaccante di eseguire un’ampia gamma di azioni malevole che possono portare alla totale compromissione di un sito vulnerabile. L’attaccante potrebbe ad esempio installare backdoor, effettuare il defacement del sito, inserire annunci pubblicitari o link fraudolenti, trafugare informazioni sensibili ed effettuare l’hijacking delle sessioni d’utente attive, ottenendo potenzialmente l’accesso al sito con i privilegi di amministratore.

La vulnerabilità è stata introdotta con la versione 3.7.0 di Joomla! e affligge unicamente questa versione. I dettagli tecnici della vulnerabilità sono stati resi disponibili pubblicamente dagli scopritori, per cui si ritiene che possa già essere stata sfruttata in-the-wild.

Vista la criticità di questa falla, contenuta nel codice “core” di Joomla!, si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare con urgenza la propria piattaforma.

Per maggiori dettagli sui problemi di sicurezza risolti in Joomla! 3.7.1 è possibile consultare il bollettino relativo all’aggiornamento sul sito Joomla! Developer Network (in Inglese):

Notizie correlate

Risolte due vulnerabilità in Joomla! 3.8.0

21 settembre 2017

Il Joomla! Project ha rilasciato la versione 3.8.0 del suo CMS che risolve due vulnerabilità che possono causare la divulgazione di informazioni sensibili. Leggi tutto

Risolte nove vulnerabilità in WordPress 4.8.2

21 settembre 2017

È stato rilasciato un aggiornamento di sicurezza che risolve nove vulnerabilità del noto CMS WordPress, presenti nelle versioni fino alla 4.8.1.Leggi tutto

Vulnerabilità multiple in Magento

15 settembre 2017

È stato rilasciato un importante aggiornamento di sicurezza per la piattaforma di e-commerce Magento che risolve diverse vulnerabilità che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario sul server.Leggi tutto