14 декабря 2016 года разработчики Joomla выпустили релиз безопасности Joomla 3.6.5, в которой исправили ряд проблем, одна из которых фактически позволяет перехватить контроль над сайтом.
Уязвимость получила идентификатор CVE-2016-9838 и высокую степень важности. Дыра существует в коде Joomla не менее пяти лет. Из-за этого уязвимость представляет опасность для сайтов, работающих под управлением версий от 1.6.0 до 3.6.4.
Разработчики пишут, что проблема позволяет воспользоваться недостаточной фильтрацией данных, что позволяет загрузить на сервер вредоносный код и изменить настройки существующих аккаунтов. В частности, атакующий может изменить юзернеймы, сбросить пароли от аккаунтов, а также переназначить права групп. По сути, злоумышленник может создать собственный админский аккаунт с желаемым паролем, и сайт полностью перейдет в его распоряжение.
Также в релизе 3.6.5 были устранены shell upload уязвимость и баг, допускающий раскрытие данных. Обе эти проблемы получили статус низкоприоритетных.
Всем администраторам рекомендуется обновить Joomla как можно быстрее, так как хакеры очень быстро возьмут CVE-2016-9838 на вооружение. Как недавно отмечал глава Sucuri Дэниэл Сид (Daniel Cid), уже через неделю после публикации информации о подобных багах, любой необновленный сайт, скорее всего, скомпрометирован.
Источник: xakep.ru
