Se ha publicado una vulnerabilidad de inyección SQL que afecta a la rama
1.6.0 del popular gestor de contenidos Joomla. El fallo ha sido
descubierto por Aung Khant que forma parte de ‘YGN Ethical Hacker
Group’.
Joomla es un popular gestor de contenidos en código abierto, que cuenta
con una gran cantidad de plantillas y componentes que un usuario puedo
utilizar para implementar de manera rápida una aplicación web. Estos
componentes son programados por todo tipo de desarrolladores. Este
hecho, unido a su popularidad, convierten al gestor de contenidos en un
objetivo muy popular para que los atacantes.
El fallo fue puesto en conocimiento de Joomla el pasado 24 de enero y
tuvo que esperar hasta principios de marzo para que fuera publicada una
actualización que solucionase este fallo de seguridad, concretamente la
versión 1.6.1. El grupo ha esperado una semana desde la publicación de
la actualización para hacer público el fallo, dando este plazo para que
los usuarios lleven a cabo la actualización del mismo.
Desde Hispasec recomendamos la actualización del gestor, y aprovechamos
para recordar a todos los usuarios de este o cualquier gestor similar,
que se mantengan al día de actualizaciones o posibles fallos encontrados
en todos los componentes que tengan instalados junto a su gestor de
contenidos.
Joomla! 1.6.0 | SQL Injection Vulnerability
http://bl0g.yehg.net/2011/03/
VIa: Hispasec
