Ga naar inhoud

Ernstig Joomla-lek kon aanvaller admin-wachtwoord geven


Aanbevolen berichten

Er is een nieuwe versie van het populaire contentmanagementsysteem Joomla verschenen waarin twee beveiligingslekken zijn verholpen. Via één van de kwetsbaarheden kon een aanvaller de wachtwoorden van super users, zoals de beheerder, achterhalen en zo de website overnemen.

De kwetsbaarheid bevond zich in de inlogpagina en maakte het mogelijk voor een aanvaller om alle inloggegevens van de LDAP-server die voor de Joomla-installatie wordt gebruikt te achterhalen. Het gaat dan onder andere om de gebruikersnaam en het wachtwoord van de beheerder. Een aanvaller kan met de achterhaalde informatie op het beheerderspaneel inloggen en de Joomla-installatie overnemen. Door het uploaden van custom Joomla-extensies voor het uitvoeren van willekeurige code op afstand zou ook de webserver kunnen worden overgenomen.

De tweede kwetsbaarheid is minder ernstig en kon een aanvaller toegang tot de introtekst van gearchiveerde artikelen geven. De beveiligingslekken zijn gepatcht in Joomla 3.8. Het cms wordt volgens cijfers van W3Techs door 3,3 procent van alle websites gebruikt. Vanwege de kwetsbaarheid krijgen beheerders het advies om de update zo snel als mogelijk te installeren.

 

 

bron: security.nl

Link naar reactie
Delen op andere sites

 Delen

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.