Meerdere beveiligingslekken in Joomla! CMS gedicht

10 maart, 2014 (19:57)
Rob (Hosting in Nederland)
0 reacties

Donderdag zijn twee updates beschikbaar gemaakt voor het Joomla contentmanagementsysteem (CMS), die meerdere beveiligingslekken in de software moeten dichten. Daarbij zou het gaan om tenminste één ernstig lek, dat websites vatbaar maakt voor SQL-injectie. Dat schijft IT-beveiligingsbedrijf Secunia in een rapport.

Voor zowel de tweede als de derde generatie van het Joomla CMS zijn updates beschikbaar gemaakt, te weten versies 3.2.3 and 2.5.19. Volgens een melding op het Joomla! Developer Network, werd het meest ernstige lek in versies 3.1.0 tot en met 3.2.2 reeds op 6 februari ontdekt.

Secunia was geschokt door het feit dat het een maand heeft geduurd voordat Joomla met een oplossing kwam, aldus Daniel Cid, CTO van het bedrijf, tegenover NetworkWorld. De recent gepubliceerde patches zouden volgens hen exact het lek dichten waarvoor een maand eerder al een exploit verscheen.

Naast twee Cross-site scripting (XSS) gevoeligheden, dicht versie 3.2.3 ook een lek in een plug-in waarmee gebruikers via hun Gmail-account op het Joomla CMS kunnen inloggen. Kwaadwillenden zouden het normaliter benodigde wachtwoord eenvoudig kunnen omzeilen door een e-mailadres bij Gmail aan te maken, gebruikmakend van de in Joomla gekozen gebruikersnaam.

Met het e-mailadres siteadministratie@gmail.com zou direct toegang verkregen kunnen worden tot het "siteadministratie"-account in een Joomla CMS. Deze plug-in is echter niet standaard geactiveerd.

Gebruikers van Joomla 3.2 en 2.5 krijgen het advies om de updates zo snel mogelijk uit te voeren.

Reacties

Er zijn nog geen reacties geplaatst.

RSS feed
Over deze blog

Op dit weblog schrijven we regelmatig over nieuws en trends rondom (web)hosting, website-ontwikkeling en technologie.

Archief
Bijdrage leveren?

We verwelkomen bijdragen van gast-auteurs. Heb je een voorstel? Neem dan vrijblijvend contact met ons op.