Уразливості в com_alfcontact для Joomla
19:24 16.10.200902.09.2009
У січні, 19.01.2009, я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості в компоненті ALFcontact (com_alfcontact) для Joomla. Це форма відправки повідомлень власнику сайта. Дані уразливості я виявив на одному веб сайті. Про що найближчим часом повідомлю розробникам.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам веб додатка.
16.10.2009
Insufficient Anti-automation:
http://site/option,com_alfcontact/
На сторінці контактів немає захисту від автоматизованих запитів (капчі).
Abuse of Functionality:
http://site/option,com_alfcontact/
Опція “Send copy to own email address” на сторінці контактів дозволяє розсилати спам з сайта.
Уразливі різні версії ALFcontact. До першої дірки уразливі старі версії, до ALFcontact 1.8 в якій з’явилася капча (у випадку якщо вона активована), а до другої дірки вразливі всі версії.
Розробник ALFcontact для Joomla пообіцяв виправити дані та інші уразливості в даному компоненті.