Уязвимость в Joomla

ВАЖНО Уязвимость в Joomla

Всем привет !

Чот прослоупочил, а всем пофиг...

Тем не менее запощу здесь, уязвимость 25 октября...

Разработчики свободной системы управления web-контентом Joomla

Пожалуйста Войдите или Зарегистрируйтесь для просмотра скрытого текста.

экстренное обновление 3.6.4, в котором устранены две уязвимости, которым присвоен наивысший уровень опасности.

Пожалуйста Войдите или Зарегистрируйтесь для просмотра скрытого текста.

(

Пожалуйста Войдите или Зарегистрируйтесь для просмотра скрытого текста.

) позволяет зарегистрировать на сайте новую учётную запись, даже если регистрация новых пользователей запрещена в настройках.

Пожалуйста Войдите или Зарегистрируйтесь для просмотра скрытого текста.

(

Пожалуйста Войдите или Зарегистрируйтесь для просмотра скрытого текста.

) позволяет любому внешнему посетителю создать нового пользователя и добавить его в любую группу доступа, в том числе передать ему права администратора. Dmeh-Smeh-Smeh!!!

Проблемы проявляются в Joomla, начиная с выпуска 3.4.4, и

Пожалуйста Войдите или Зарегистрируйтесь для просмотра скрытого текста.

оставлением в коде доступного для внешних обращений и не требующего аутентификации обработчика для регистрации новых пользователей.

В частности в классе UsersModelRegistration был оставлен метод register, который дублирует аналогичный метод в классе UsersControllerRegistration, но в отличие от него не проверяет разрешение регистрации в настройках и использует собственный метод validate, содержащий недоработку, позволяющую передать произвольные дополнительные параметры без проверки и переопределить присваиваемый по умолчанию список групп и идентификатор пользователя.

Подробно на Хакере:

Пожалуйста Войдите или Зарегистрируйтесь для просмотра скрытого текста.

Автор
X-Shar
Просмотры
748
Первый выпуск
Обновление
Рейтинг
0.00 звёзд Оценок: 0
Верх Низ