Naciśnij ESC aby zamknąć

Krytyczna luka we wszystkich wersjach CMS Mambo

Wykryto krytyczną lukę we wszystkich wersjach Mambo. Błąd exploitowalny jest z wykorzystaniem ataku SQL Injection, gdzie pole “Name” podczas dodawania linku strony internetowej jest błędnie interpretowane. Dzięki odpowiedniemu zapytaniu SQL, atak umożliwia manipulację zapytaniem oraz arbitralne wstrzykiwanie kodu SQL.

Podatność została potwierdzona w Mambo 4.5.3h jak również 4.6rc1. Osoba, która wykryła błąd informuje o podatności do 4.6rc1 włącznie. Jako, że luka obejmuje wszystkie dostępne wersje a odpowiednich poprawek jeszcze nie udostępniono, zalecamy manualną edycję kodu CMS i upewnienie się, że wyżej wymieniony błąd jest prawidłowo interpretowany podczas dodawania odnośnika do strony.

Sytuacja jest o tyle groźna, iż wraz z advisory pojawił się kod exploita wykorzystujący opisaną lukę. Większość serwerów Rządowych w domenach [miasto].policja.gov.pl opartych jest o CMS Mambo, także w przypadku prawdopodobnej ignorancji lub opieszałości administratorów, skutki widoczne będą w ciągu kilku najbliższych dni.

Aby zabezpieczyć się przed tym atakiem wymagane jest w linii 250 pliku /components/com_weblinks/weblinks.php dopisanie następującego kodu:

$row->title = $database->getEscaped($row->title);
$row->catid = $database->getEscaped($row->catid);

Redakcja

Nasz zespół składa się z doświadczonych ekspertów w dziedzinie bezpieczeństwa informatycznego i najnowszych trendów technologicznych. Nasi autorzy posiadają wieloletnie doświadczenie zarówno w sektorze komercyjnym, jak i akademickim, co pozwala im na głębokie zrozumienie i analizę dynamicznie zmieniającego się świata technologii. Jako grupa specjalistów dostarczamy rzetelne i aktualne informacje, analizy oraz poradniki z zakresu bezpieczeństwa IT i innowacji technologicznych. Nasze artykuły opierają się na dogłębnym badaniu tematu, wsparte doświadczeniem naszych ekspertów. Stawiamy na edukację czytelników, pomagając im zrozumieć skomplikowane zagadnienia technologiczne i zachować bezpieczeństwo w cyfrowym świecie. Naszym celem jest dostarczanie precyzyjnych i aktualnych informacji, które wspierają zarówno profesjonalistów IT, jak i zwykłych użytkowników w zrozumieniu i adaptacji do szybko zmieniającego się świata technologii. Zależy nam na promowaniu kultury bezpieczeństwa i świadomości cyfrowej w społeczeństwie.