Популярная система управления контентом Joomla на прошлой неделе получила сразу три обновления, устраняющих различные уязвимости в системе защиты, одна из которых позволяла повышать привилегии посредством внедрения SQL-кода и тем самым получить права администратора на большинстве интернет-ресурсов, находящихся под управлением Joomla. Данная уязвимость (CVE-2015-7297, CVE-2015-7857, CVE-2015-7858) обнаружена специалистом в сфере информационной безопасности Trustwave Асафом Орпани (Asaf Orpani), а также сотрудником PerimeterX Нетанелем Рубином (Netanel Rubin). По словам экспертов, самое слабое место находится в модуле ядра Joomla. Воспользовавшись уязвимостью системы, хакер может осуществить перехват сессии администратора, извлечь идентификатор сессии и подставить его в секцию куки GET-запроса, заполучив таким образом администраторские привилегии. «Поскольку брешь обнаружена в модуле ядра, не требующем никаких расширений, все веб-сайты на базе Joomla 3.2 и более поздних версий уязвимы к атаке. Из этого следует, что все ресурсы под управлением VirtueMart также могут быть скомпрометированы», — сообщил Орпани. Две другие уязвимости были связаны со списком контроля доступа (ACL) - CVE-2015-7859 и CVE-2015-7899. Они также устранены в последних обновлениях, доступных на веб-сайте разработчика.
Источник