Перейти к содержимому

MOAB

Уязвимости Joomla, её компонентов и плагинов

Joomla

  • Войдите, чтобы ответить
Сообщений в теме: 21

#1 MAzZY

MAzZY

    Биоробот на 146%

  • Участник
  • PipPipPipPipPip
  • 4 753 сообщений
2 331
  • Извсегда здесь был

Отправлено 10 Март 2012 - 14:49

В этой теме будет собираться вся доступная информация об уязвимостях Joomla разных версий, а также компонентов, плагинов, модулей.

_________________________

Множественные уязвимости в Joomla! 2.5.1
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
1. Уязвимость существует из-за недостаточной обработки входных данных в плагине Highlight. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
2. Уязвимость существует из-за недостаточной обработки входных данных в плагине Redirect. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.

Решение: Установите исправление с сайта производителя.
"Конечно, я умный человек, умнее очень многих, но счастье не в этом..." А.П. Чехов. "Три сестры"
Carpe diem / Memento mori / Ecce Homo
Под столетними сугробами библейских анекдотов...

#2 madcap

madcap

    Мастер

  • Старая гвардия
  • PipPipPipPip
  • 879 сообщений
800
  • ИзМосквы

Отправлено 21 Март 2012 - 17:28

Как хорошо, что они сделали автоматическое уведомление в админке и кнопку обновления.
Теперь (в отличии от 1-й и 1,5-й версии) обновить Джумлу можно в 1 клик.

#3 MAzZY

MAzZY

    Биоробот на 146%

  • Участник
  • PipPipPipPipPip
  • 4 753 сообщений
2 331
  • Извсегда здесь был

TC Отправлено 25 Март 2012 - 23:44

Множественные уязвимости в Joomla! 2.5.0 - 2.5.2.

Описание:
Обнаруженные уязвимости позволяют обойти ограничения безопасности на целевой системе.
1. Уязвимость существует из-за недостаточной проверки входных данных в параметре jform[groups] в сценарии index.php. Удаленный пользователь может зарегистрировать нового пользователя с административными правами.
2. Уязвимость существует из-за того, что функционал генерирования паролей создает пароли, которые можно предугадать. Удаленный пользователь может угадать сгенерированный пользователем пароль.

Решение: Для исправления уязвимости установите продукт версии 2.5.3 с сайта производителя.
"Конечно, я умный человек, умнее очень многих, но счастье не в этом..." А.П. Чехов. "Три сестры"
Carpe diem / Memento mori / Ecce Homo
Под столетними сугробами библейских анекдотов...

#4 Fitsh

Fitsh

    Юзер

  • Участник
  • PipPipPipPipPip
  • 1 733 сообщений
1 393

Отправлено 26 Март 2012 - 01:24

Давайте лучше топик удалим, а то какой ленивый школ найдет вп старой версии и хак на него к этому файлу и разнесет его в котлету.

#5 Матумба

Матумба

    во имя матана

  • Участник
  • PipPipPipPipPip
  • 5 124 сообщений
6 458
  • ИзКрии

Отправлено 26 Март 2012 - 02:19

Просмотр сообщенияПыщ-Пыщ (26 Март 2012 - 01:24) писал:

Давайте лучше топик удалим, а то какой ленивый школ найдет вп старой версии и хак на него к этому файлу и разнесет его в котлету.
школота - санитары леса :D
"Они не могут ничего, у них лапки котят"

#6 MAzZY

MAzZY

    Биоробот на 146%

  • Участник
  • PipPipPipPipPip
  • 4 753 сообщений
2 331
  • Извсегда здесь был

TC Отправлено 26 Март 2012 - 09:51

Эта информация общедоступна и найти её можно где угодно.
"Конечно, я умный человек, умнее очень многих, но счастье не в этом..." А.П. Чехов. "Три сестры"
Carpe diem / Memento mori / Ecce Homo
Под столетними сугробами библейских анекдотов...

#7 Fitsh

Fitsh

    Юзер

  • Участник
  • PipPipPipPipPip
  • 1 733 сообщений
1 393

Отправлено 26 Март 2012 - 12:49

А так станет еще проще.

#8 MAzZY

MAzZY

    Биоробот на 146%

  • Участник
  • PipPipPipPipPip
  • 4 753 сообщений
2 331
  • Извсегда здесь был

TC Отправлено 26 Март 2012 - 13:15

Кто знает, как воспользоваться уязвимостью, тот и без этой темы всё сделает. А кто не знает - ему такая информация как китайская грамота.
Тема нужна для тех, кто не следит за информацией об уязвимостях и может в любой момент почитать здесь и принять меры
"Конечно, я умный человек, умнее очень многих, но счастье не в этом..." А.П. Чехов. "Три сестры"
Carpe diem / Memento mori / Ecce Homo
Под столетними сугробами библейских анекдотов...

#9 MAzZY

MAzZY

    Биоробот на 146%

  • Участник
  • PipPipPipPipPip
  • 4 753 сообщений
2 331
  • Извсегда здесь был

TC Отправлено 31 Март 2012 - 23:32

Вышел релиз безопасности 1.5.26. Рекомендуется обновить свои сайты.
"Конечно, я умный человек, умнее очень многих, но счастье не в этом..." А.П. Чехов. "Три сестры"
Carpe diem / Memento mori / Ecce Homo
Под столетними сугробами библейских анекдотов...

#10 triode-master

triode-master

    Новенький

  • Старая гвардия
  • Pip
  • 14 сообщений
6

Отправлено 02 Апрель 2012 - 12:30

Как они мне дороги с этими обновлениями.
Вот представте, ветка 1.5 имеет 26 релизов и это без всяких альф и бет.
Как переходить 2.5?
И мля с цифрами у них тяжело 1.5, 1.6, 1.7 и тут херакс 2.5.
Видимо просто цифр таких незнают. :D

#11 MAzZY

MAzZY

    Биоробот на 146%

  • Участник
  • PipPipPipPipPip
  • 4 753 сообщений
2 331
  • Извсегда здесь был

TC Отправлено 02 Апрель 2012 - 12:32

Просмотр сообщенияtriode-master сказал:

Как переходить 2.5?
Кажется, так: 1.5 -> 1.7 -> 2.5. Но шаблоны и компоненты не совместимы, так что это будет только перенос контента. Сам сайт надо с нуля строить
"Конечно, я умный человек, умнее очень многих, но счастье не в этом..." А.П. Чехов. "Три сестры"
Carpe diem / Memento mori / Ecce Homo
Под столетними сугробами библейских анекдотов...

#12 php5

php5

    Joomla/OpenCart помощь

  • Старая гвардия
  • PipPipPipPip
  • 960 сообщений
411

Отправлено 02 Апрель 2012 - 19:36

Просмотр сообщенияMAzZY (02 Апрель 2012 - 12:32) писал:

Кажется, так: 1.5 -> 1.7 -> 2.5. Но шаблоны и компоненты не совместимы, так что это будет только перенос контента. Сам сайт надо с нуля строить
Не совсем точно. Есть инструменты миграции, например jupgrade
Некоторые расширения, типа вирту, можно проапргрейдить скриптом. Но рученьками на мой взгляд удобнее.

#13 triode-master

triode-master

    Новенький

  • Старая гвардия
  • Pip
  • 14 сообщений
6

Отправлено 03 Апрель 2012 - 12:32

Ребят, вы че? это был риторический вопрос.
Имелось ввиду что 2.5 получит еще кучу обновлений прежде чем станет стабильной и на ней можно было делать рабочие сайты.

#14 php5

php5

    Joomla/OpenCart помощь

  • Старая гвардия
  • PipPipPipPip
  • 960 сообщений
411

Отправлено 03 Апрель 2012 - 18:14

Не, ну понятно... никто и не говорит, что надо переходить. Вернее надо, если есть сайт на 1.7.х
а с 1.5 переходить причин нет

#15 MAzZY

MAzZY

    Биоробот на 146%

  • Участник
  • PipPipPipPipPip
  • 4 753 сообщений
2 331
  • Извсегда здесь был

TC Отправлено 04 Апрель 2012 - 18:21

Множественные уязвимости в Joomla! версии до 2.5.4
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.
1. Уязвимость существует из-за того, что приложение не корректно проверяет права доступа. Удаленный пользователь может раскрыть определенную административную информацию.
2. Уязвимость существует из-за неопределенной ошибки при обработке входных данных. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Решение: Установите последнюю версию 2.5.4 с сайта производителя. http://www.joomla.org/
"Конечно, я умный человек, умнее очень многих, но счастье не в этом..." А.П. Чехов. "Три сестры"
Carpe diem / Memento mori / Ecce Homo
Под столетними сугробами библейских анекдотов...

#16 MAzZY

MAzZY

    Биоробот на 146%

  • Участник
  • PipPipPipPipPip
  • 4 753 сообщений
2 331
  • Извсегда здесь был

TC Отправлено 09 Апрель 2012 - 15:02

SQL-инъекция в Joomla! VirtueMart 2.0.2
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "virtuemart_userinfo_id" в сценарии index.php/virtue-mart-edit-address (когда параметр "option" равен "com_virtuemart"). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Решение: Способов устранения уязвимости не существует в настоящее время.
"Конечно, я умный человек, умнее очень многих, но счастье не в этом..." А.П. Чехов. "Три сестры"
Carpe diem / Memento mori / Ecce Homo
Под столетними сугробами библейских анекдотов...

#17 php5

php5

    Joomla/OpenCart помощь

  • Старая гвардия
  • PipPipPipPip
  • 960 сообщений
411

Отправлено 20 Апрель 2012 - 11:28

Просмотр сообщенияMAzZY (09 Апрель 2012 - 15:02) писал:

Способов устранения уязвимости не существует в настоящее время.
Вывод: используем предыдущую ветку Вирта или более логичный joomshopping

#18 MAzZY

MAzZY

    Биоробот на 146%

  • Участник
  • PipPipPipPipPip
  • 4 753 сообщений
2 331
  • Извсегда здесь был

TC Отправлено 30 Апрель 2012 - 16:13

Множественные уязвимости в Joomla! Phoca Favicon 2.x
Описание:
Уязвимость позволяет локальному пользователю повысить свои привилегии на системе.
Уязвимость существует из-за того, что компонент дает небезопасные права доступа (777) для папки "images/phocafavicon". Локальный пользователь может изменять, создавать и удалять файлы, содержащиеся в этой папке.
Решение: Установите последнюю версию с сайта производителя. http://www.phoca.cz/phocafavicon
"Конечно, я умный человек, умнее очень многих, но счастье не в этом..." А.П. Чехов. "Три сестры"
Carpe diem / Memento mori / Ecce Homo
Под столетними сугробами библейских анекдотов...

#19 MAzZY

MAzZY

    Биоробот на 146%

  • Участник
  • PipPipPipPipPip
  • 4 753 сообщений
2 331
  • Извсегда здесь был

TC Отправлено 30 Апрель 2012 - 16:45

SQL-инъекция в Joomla! ccNewsletter 1.0.9
Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" в сценарии modules/mod_ccnewsletter/helper/popup.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения.
Решение: Установите последнюю версию 1.0.10 с сайта производителя. http://www.chillcrea...-extension.html
"Конечно, я умный человек, умнее очень многих, но счастье не в этом..." А.П. Чехов. "Три сестры"
Carpe diem / Memento mori / Ecce Homo
Под столетними сугробами библейских анекдотов...

#20 MAzZY

MAzZY

    Биоробот на 146%

  • Участник
  • PipPipPipPipPip
  • 4 753 сообщений
2 331
  • Извсегда здесь был

TC Отправлено 30 Апрель 2012 - 16:55

Межсайтовый скриптинг в Joomla! nBill 2.3.2

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки входных данных в параметре "message" в сценарии index.php (когда параметр "option" равен "com_nbill", а "task" - "generated-view"). Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Решение: Способов устранения уязвимости не существует в настоящее время.
"Конечно, я умный человек, умнее очень многих, но счастье не в этом..." А.П. Чехов. "Три сестры"
Carpe diem / Memento mori / Ecce Homo
Под столетними сугробами библейских анекдотов...



Похожие темы



Также с тегом Joomla

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных



© 2019 SMO&SEO форум «WEBIMHO» — продвижение и создание сайтов, интернет-маркетинг

По вопросам рекламы на форуме и цены на рекламу
Все материалы SEO форума разрешены к копированию только с установкой гиперактивной ссылки на webimho.ru,
тем, кто этого не сделает, мы оторвем руки и ноги и поменяем местами,
а когда выйдем из тюрьмы, опять оторвем и опять поменяем.


Россия, г. Москва

Мы в соцсетях: twitter | вконтакте | facebook | livejournal