Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza critico per il CMS Joomla!

CMS  Joomla!  SQL injection   giovedì, 18 maggio 2017

Vulnerabilità di Joomla!Il 17 maggio il Joomla! Project ha rilasciato la versione 3.7.1 del suo CMS che risolve una vulnerabilità critica di tipo SQL injection (CVE-2017-8917) che potrebbe consentire ad un attaccante remoto non autenticato di eseguire comandi SQL arbitrari.

Se sfruttata con successo, questa vulnerabilità può consentire all’attaccante di eseguire un’ampia gamma di azioni malevole che possono portare alla totale compromissione di un sito vulnerabile. L’attaccante potrebbe ad esempio installare backdoor, effettuare il defacement del sito, inserire annunci pubblicitari o link fraudolenti, trafugare informazioni sensibili ed effettuare l’hijacking delle sessioni d’utente attive, ottenendo potenzialmente l’accesso al sito con i privilegi di amministratore.

La vulnerabilità è stata introdotta con la versione 3.7.0 di Joomla! e affligge unicamente questa versione. I dettagli tecnici della vulnerabilità sono stati resi disponibili pubblicamente dagli scopritori, per cui si ritiene che possa già essere stata sfruttata in-the-wild.

Vista la criticità di questa falla, contenuta nel codice “core” di Joomla!, si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare con urgenza la propria piattaforma.

Per maggiori dettagli sui problemi di sicurezza risolti in Joomla! 3.7.1 è possibile consultare il bollettino relativo all’aggiornamento sul sito Joomla! Developer Network (in Inglese):

Notizie correlate

Risolte sei vulnerabilità in WordPress 4.7.5

18 maggio 2017

È stato rilasciato un aggiornamento di sicurezza che risolve sei vulnerabilità del noto CMS WordPress, presenti nelle versioni fino alla 4.7.4.Leggi tutto

Scoperta grave vulnerabilità 0-day in WordPress

5 maggio 2017

È stata scoperta una grave falla zero-day in WordPress fino alla versione 4.7.4. che può consentire ad un attaccante remoto di ottenere l'accesso non autorizzato agli account d'utente.Leggi tutto

Risolte diverse vulnerabilità in Joomla! 3.7.0

28 aprile 2017

Il Joomla! Project ha rilasciato la versione 3.7.0 del suo CMS che risolve diverse vulnerabilità, di cui due di gravità elevata che possono consentire l'esecuzione di codice da remoto.Leggi tutto