image

Ernstig Joomla-lek kon aanvaller admin-wachtwoord geven

donderdag 21 september 2017, 10:50 door Redactie, 1 reacties

Er is een nieuwe versie van het populaire contentmanagementsysteem Joomla verschenen waarin twee beveiligingslekken zijn verholpen. Via één van de kwetsbaarheden kon een aanvaller de wachtwoorden van super users, zoals de beheerder, achterhalen en zo de website overnemen.

De kwetsbaarheid bevond zich in de inlogpagina en maakte het mogelijk voor een aanvaller om alle inloggegevens van de LDAP-server die voor de Joomla-installatie wordt gebruikt te achterhalen. Het gaat dan onder andere om de gebruikersnaam en het wachtwoord van de beheerder. Een aanvaller kan met de achterhaalde informatie op het beheerderspaneel inloggen en de Joomla-installatie overnemen. Door het uploaden van custom Joomla-extensies voor het uitvoeren van willekeurige code op afstand zou ook de webserver kunnen worden overgenomen.

De tweede kwetsbaarheid is minder ernstig en kon een aanvaller toegang tot de introtekst van gearchiveerde artikelen geven. De beveiligingslekken zijn gepatcht in Joomla 3.8. Het cms wordt volgens cijfers van W3Techs door 3,3 procent van alle websites gebruikt. Vanwege de kwetsbaarheid krijgen beheerders het advies om de update zo snel als mogelijk te installeren.

Reacties (1)
21-09-2017, 15:17 door Anoniem
Gelukkig is de LDAP plugin standaard uitgeschakeld in Joomla! en ik kan me voorstellen dat deze in weinig gevallen geactiveerd wordt, wellicht in intranetomgevingen. Het blijft natuurlijk wel een serieuze bug.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.