Joomla vá lỗ hổng SQL Injection
Lỗ hổng CVE-2017-8917, được phát hiện bởi chuyên gia Marc Alexandre Montpas của công ty bảo mật Sucuri (Hoa Kỳ), ảnh hưởng đến Joomla 3.7.0. Bản cập nhật 3.7.1 đã khắc phục vấn đề này.
Theo Montpas, lỗ hổng chỉ ảnh hưởng đến Joomla 3.7 do liên quan đến com_fields - một thành phần mới có trong phiên bản này. Bởi com_fields là thành phần công khai nên bất kỳ ai cũng có thể khai thác lỗ hổng mà không cần tài khoản được phân quyền trên trang web. Kẻ tấn công có thể khai thác lỗ hổng để chèn các truy vấn SQL qua một URL giả mạo.
Tin tặccó nhiều cách để lợi dụng lỗ hổng như: lấy cắp mật khẩu hàm băm, chiếm quyền điều khiển một phiên đăng nhập của người dùng. Nếu đó là phiên đăng nhập quản trị, tin tặc có thể xâm nhập toàn bộ trang web.
Người dùng Joomla được khuyến cáo cập nhật bản vá trong thời gian sớm nhất có thể. Công ty Joomla đã đưa ra thông báo an ninh tới người dùng trước khi phát hành bản cập nhật.
Mặc dù không đưa ra mã khai thác (PoC), nhưng Sucuri đã công bố chi tiết kỹ thuật về lỗ hổng.
Trước đó, vào tháng 10/2016, tin tặc đã khai thác một số lỗ hổng của Joomla trong vòng vài giờ sau khi các lỗ hổng này bị tiết lộ. Mặc dù khi đó chỉ có một số thông tin về lỗ hổng được công khai, tin tặc đã leo thang đặc quyền để tạo ra tài khoản người dùng giả mạo trên các trang web phổ biến.
Hồng Loan (Theo Securityweeks)
- Việt Nam làm việc với Facebook để gỡ các trang mạo danh lãnh đạo
- Các Nhà đăng ký tên miền “.vn” triển khai cấp phát tên miền tiếng Việt
- Xây dựng quy định về bảo đảm an ninh không gian mạng quốc gia
- Bộ Thông tin và Truyền thông mở chiến dịch ngăn chặn tin nhắn rác
- Viettel chính thức cung cấp 4G và tuyên bố ra gói cước rẻ hơn 3G tới 60%
- Tin tặc chiếm quyền kiểm soát hệ thống giao dịch trực tuyến của một ngân hàng Braxin
- Phát huy sức mạnh toàn dân trong công tác bảo đảm an toàn thông tin mạng
- Hy sinh cảm biến vân tay Touch ID trên iPhone 8 sẽ trở thành bước ngoặt lớn của Apple
- Microsoft thông báo đã vá hết các lỗ hổng nguy hiểm từ Windows 7 trở lên
- Mark Zuckerberg vừa ký giấy chứng tử cho smartphone