WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Joomla phát hành phiên bản mới vá 2 lỗ hổng nghiêm trọng
Hai lỗ hổng nghiêm trọng liên quan đến tạo tài khoản đã được vá trong hệ thống quản lý nội dung Joomla (CMS) với việc phát hành phiên bản 3.6.4 ngày 25/10.
Lỗ hổng CVE-2016-8870 cho phép kẻ tấn công đăng ký trên trang web ngay cả khi tính năng đăng ký đã bị vô hiệu hóa. Lỗ hổng an ninh này, ảnh hưởng đến Joomla core từ phiên bản 3.4.4 đến 3.6.3, là do việc thực hiện kiểm tra không đầy đủ. Vấn đề được Demis Palma thông báo cho các nhà phát triển Joomla hôm 18/10.
Lỗ hổng thứ hai, CVE-2016-8869, cũng có thể bị khai thác bởi người dùng khi đăng ký trên trang web, nhưng với đặc quyền cao.
Lỗ hổng này, do Davide Tampellini phát hiện và báo cáo hôm 21/10, là do việc sử dụng không đúng các dữ liệu chưa được lọc. Vấn đề cũng ảnh hưởng đến Joomla phiên bản từ 3.4.4 đến 3.6.3.
Vì cả hai lỗ hổng đều được đánh giá có mức độ nghiêm trọng cao, các nhà phát triển của Joomla đã khắc phục vấn đề trong vòng chưa đến một tuần. Tuần trước đội ngũ Security Strike của Joomla! (JSST) đăng một thông báo an ninh để đảm bảo người dùng biết đến bản cập nhật và vá các cài đặt của mình sớm nhất có thể.
Bản cập nhật mới nhất cũng vá một lỗi trong cơ chế mã hóa được hệ thống xác thực hai yếu tố của Joomla sử dụng, dù lỗi này không được coi là một lỗ hổng.
Các máy chủ Joomla đang trở thành mục tiêu hấp dẫn cho tội phạm mạng và kẻ xấu sẽ tiến hành khai thác các lỗ hổng ngay khi chúng được công bố.
Lỗ hổng CVE-2016-8870 cho phép kẻ tấn công đăng ký trên trang web ngay cả khi tính năng đăng ký đã bị vô hiệu hóa. Lỗ hổng an ninh này, ảnh hưởng đến Joomla core từ phiên bản 3.4.4 đến 3.6.3, là do việc thực hiện kiểm tra không đầy đủ. Vấn đề được Demis Palma thông báo cho các nhà phát triển Joomla hôm 18/10.
Lỗ hổng thứ hai, CVE-2016-8869, cũng có thể bị khai thác bởi người dùng khi đăng ký trên trang web, nhưng với đặc quyền cao.
Lỗ hổng này, do Davide Tampellini phát hiện và báo cáo hôm 21/10, là do việc sử dụng không đúng các dữ liệu chưa được lọc. Vấn đề cũng ảnh hưởng đến Joomla phiên bản từ 3.4.4 đến 3.6.3.
Vì cả hai lỗ hổng đều được đánh giá có mức độ nghiêm trọng cao, các nhà phát triển của Joomla đã khắc phục vấn đề trong vòng chưa đến một tuần. Tuần trước đội ngũ Security Strike của Joomla! (JSST) đăng một thông báo an ninh để đảm bảo người dùng biết đến bản cập nhật và vá các cài đặt của mình sớm nhất có thể.
Bản cập nhật mới nhất cũng vá một lỗi trong cơ chế mã hóa được hệ thống xác thực hai yếu tố của Joomla sử dụng, dù lỗi này không được coi là một lỗ hổng.
Các máy chủ Joomla đang trở thành mục tiêu hấp dẫn cho tội phạm mạng và kẻ xấu sẽ tiến hành khai thác các lỗ hổng ngay khi chúng được công bố.
Theo SecurityWeek