Wykryto krytyczną lukę we wszystkich wersjach Mambo. Błąd exploitowalny jest z wykorzystaniem ataku SQL Injection, gdzie pole “Name” podczas dodawania linku strony internetowej jest błędnie interpretowane. Dzięki odpowiedniemu zapytaniu SQL, atak umożliwia manipulację zapytaniem oraz arbitralne wstrzykiwanie kodu SQL.
Podatność została potwierdzona w Mambo 4.5.3h jak również 4.6rc1. Osoba, która wykryła błąd informuje o podatności do 4.6rc1 włącznie. Jako, że luka obejmuje wszystkie dostępne wersje a odpowiednich poprawek jeszcze nie udostępniono, zalecamy manualną edycję kodu CMS i upewnienie się, że wyżej wymieniony błąd jest prawidłowo interpretowany podczas dodawania odnośnika do strony.
Sytuacja jest o tyle groźna, iż wraz z advisory pojawił się kod exploita wykorzystujący opisaną lukę. Większość serwerów Rządowych w domenach [miasto].policja.gov.pl opartych jest o CMS Mambo, także w przypadku prawdopodobnej ignorancji lub opieszałości administratorów, skutki widoczne będą w ciągu kilku najbliższych dni.
Aby zabezpieczyć się przed tym atakiem wymagane jest w linii 250 pliku /components/com_weblinks/weblinks.php dopisanie następującego kodu:
$row->title = $database->getEscaped($row->title);
$row->catid = $database->getEscaped($row->catid);