CVE-2017-8917 is een Joomla kwetsbaarheid net bekendgemaakt door Sucuri onderzoekers. Tijdens de reguliere zoekopdracht audits, ontdekten de onderzoekers een SQL-injectie fout invloed Joomla! 3.7. De fout is eenvoudig te exploiteren omdat het niet een bevoorrechte gehouden op het terrein van het slachtoffer eisen.
Meer over CVE-2017-8917
De fout wordt veroorzaakt door een nieuwe component geïdentificeerd als com_fields, geïntroduceerd in versie 3.7. Admins dat deze versie van Joomla te gebruiken lopen het risico op een exploit en dient onmiddellijk te actualiseren. Wat erger is, is dat dit onderdeel is voor het publiek toegankelijk, wat betekent dat de bug kan worden gebruikt door iedereen die de beoogde Joomla site bezoekt.
Bovendien, er zijn tal van manieren om dergelijke gebreken te worden misbruikt door aanvallers, zoals lekkende wachtwoord-hashes of kaping ingelogde gebruikers-sessies. Het tweede scenario zou kunnen leiden tot een volledige compromis van de beoogde website als een admin sessie is gestolen, sappen verklaart.
Het publiek gerichte com_fields component leent sommige uitzicht van de administratieve kant component met dezelfde naam. Hoewel dit klinkt misschien als een vreemd ding om te doen, het dient een zeer praktisch doel - het maakt het hergebruik van generieke code die voor de andere kant werd geschreven, in plaats van het schrijven weer vanaf nul.
Joomla Admins moet onmiddellijk Upgrade
Omdat Joomla is een van de meest populaire open source CMS (Contentmanagement systeem) dit beveiligingslek moet niet onder-minded. Een van de redenen om veel aandacht te besteden aan deze fout als je een Joomla admin is dat aanvallers vaak gebruik maken van hoe langzaam beheerders upgrade nemen. Hoe langer het duurt voor een admin om te reageren, hoe meer kans er is voor een succesvolle aanval.
"Dit is een ernstige kwetsbaarheid die kan worden misbruikt op verschillende manieren om een kwetsbare plaats compromitteren. Update nu,"Sappen adviseert.
Zowel Joomla en WordPress-sites vallen vaak het slachtoffer van aanvallen. In 2016, dergelijke sites werden ingezet in de distributie van een uniek en slim vervaardigde aanval.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: