Уразливості в Joomla
15:21 27.11.201016.09.2010
У травні, 15.05.2010, я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості в Joomla. Уразливості мають місце в компоненті com_contact, що є стандартним компонентом Joomla. Які я виявив на сайті www.school.gov.ua. Про що найближчим часом повідомлю розробникам.
Про подібні уразливості я писав в статті Розсилка спаму через сайти та створення спам-ботнетів.
Також раніше я вже писав про уразливості в DS-Syndicate для Joomla.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.
27.11.2010
Insufficient Anti-automation:
http://site/contact/
На сторінці контактів немає захисту від автоматизованих запитів (капчі).
Abuse of Functionality:
http://site/contact/
Опція “E-mail a copy of this message to your own address.” на сторінці контактів дозволяє розсилати спам з сайта на довільні емайли. А з використанням Insufficient Anti-automation уразливості можна автоматизовано розсилати спам з сайта в великих обсягах.
Уразливі всі версії Joomla з даним функціоналом (Joomla! 1.5.22 та попередні версії).
Розробники Joomla відмовилися виправляти дані уразливості в своїй системі.