Jak wiecie ostatnio wydano najnowszą wersję CMS Joomla oznaczoną numerkiem 3.6.4, która łata dość poważny błąd w skrypcie pozwalający na założenie konta na naszych stronach nawet gdy zakładanie kont jest wyłączone w panelu.
Wszystkie wersje Joomla, przed 3.6.4 są podatne na tego typu ataki i jak dowiadujemy się z opisu podatności oznaczonej CVE-2016-8870 wykorzystuje ona klasę UsersModelRegistration. Możemy spokojnie założyć sobie zdalnie konto i przypisać do niego odpowiednie uprawnienia. Z pewnością wielu z Was borykało się z problemem masowego zakładania kont na Waszych stronach. No i macie przyczynę.
Podatność odkryto 18 października 2016 roku i już 7 dni później została załatana wraz z wersją 3.6.4. Ale to nie wszystko, bo 21 października okazało się, że to nie koniec dziur. Jednak tu chodziło o możliwości tworzenia kont typu Super Admin, co już powinno Was zmobilizować do aktualizacji Joomli.
Ostatnie komentarze