Joomla стала безопаснее

В популярной CMS Joomla была закрыта очередная «дыра», которая давала возможность угона сайта.

С выходом новой версии 3.6.5 было закрыто три уязвимости, одна из которых позволяла модифицировать аккаунты пользователей, и давала возможность угона сайта. Об этой уязвимости стало известно 4 ноября, 6 декабря был выпущен патч.

Баг № CVE-2016-9838 представляет собой несанкционированное повышение полномочий и присутствует в версиях Joomla 1.6.0 по 3.6.4 включительно. Суть этой уязвимости заключается в отсутствии фильтрации данных, которые вводятся в веб-форму при открытии сессии.  Другими словами, эта уязвимость давала возможность подменять имя пользователя, пароля, а так же подменять привилегии.

Напомним, в конце октября была устранена похожая уязвимость, стоит отметить, что хакеры стараются быстрее использовать такие бреши, даже после выхода патча. Например, устраненная год назад «дыра» настолько воодушевила хакеров, что даже после выхода патча они еще две недели пытались использовать эту уязвимость.

Как отметили разработчики, в новой версии Joomla 3.6.5 реализован дополнительный механизм защиты, была ограничена возможность создания новых групп с привилегиями, а так же был введен запрет на изменение в аккаунтах суперпользователей.

Разработчики  Joomla рекомендуют, поскорее обновить версию CMS.