Urgente seguridad joomla 1.5.9

Diseño y Posicionamiento Web con Joomla Foros General Joomla en General Urgente seguridad joomla 1.5.9

Mostrando 4 respuestas a los debates
  • Autor
    Entradas
    • #79165
      Anónimo
      Invitado

      Es posible la eliminación del directorio de imagenes por completo.. o simplemente cualquier parte del sitio…..

      Buenos días.. el tema lo abro a modo informativo .. navegando y buscando sobre seguridad me topé con los siguientes post que recomiendo leerlos completamente…

      Resumo algunos puntos :

      -La falla se localiza en el módulo de Administracion llamado “Media Manager” donde su petición GET para solicitar la eliminación de un directorio o archivo no incluye ningún Token o sistema de seguridad válido para impedir este tipo de ataques.

      -Los archivos que pueden ser eliminados no necesariamente deben ser imagenes ya que el sistema solo permite la subida de imagenes pero la eliminación de cualquier tipo de archivo.
      Para poder repararlo y como soy un total ignorante de la programación recomiendo ver los foros originales donde localié esta noticia

      -En resumidas cuentas … con algun engaño un atacante necesitaría que el un usuario del sistema Joomla tenga derechos de Administración y caiga en algún tipo de engaño como una imagen falsa que redireccione hacia el borrado inicialmente del index.html que impidía ver los archivos,
      Una ves eliminado el mismo script podría tener la capacidad de listar todos los archivos a eliminar con un segundo ataque
      Puesto por ejemplo dos veces en una misma firma dentro de algún foro o publicación parcial del mismo sistema como editor..

      – DESARROLLAR EL PHP PARA EJERCER EL ATAQUE ES MUY SENCILLO:
      Recorto algunas palabras…….Metes este php dentro de un iframe por ahi en una web y le dices al administrador que la visualize :p pero está mas que claro que estoy demostrando el esenario de un atacante para que puedan comprender como protegerse, por ejemplo no aceptando todo tipo de links que vean, navegar sin scripts o con no-script para blokear esos dichosos iframes, nunca ver otros sitios webs con el usuario de administración logueado, etc etc…….

      Fuentes:
      http://foro.elhacker.net/nivel_web/bug_en_joomla_159_eliminacion_del_directorio_de_imagenes_por_completo-t244742.0.html
      http://www.jccharry.com/blog/2009/02/09/whk_vulnerabilidad-de-tipo-csrf-en-joomla-159.html
      http://forum.joomla.org/viewtopic.php?f=300&t=371705

    • #79166
      alakentuAlakentu
      Participante

      Hola

      Hermano siento decirte que la noticia es ya de vieja data y he posteado este tema en otro foro y con su resolución.

      [RTO]Bugs de seguridad encontrado en Joomla 1.5.9

      Gracias.

    • #79170
      Anónimo
      Invitado

      ok.. en el día de ayer se lo comuniqué a redlo por MP . y como hoy no vi el tema en el foro decidí postearlo… perdon por lo arrebatado.. si es necesario borren el post.. un abrazo

    • #79172
      redloModerador Foro
      Participante

      No pidas perdon, no hay porque :dry:

    • #79175
      alakentuAlakentu
      Participante

      Hola

      Tranquilo hermano ni tan calvo ni con 2 pelucas como decimos acá en Venezuela… Aquí no se viene a pdir perdones ni excusas por algo..!
      Simplemente ya se habia posteado un tema y esa fué una respuesta para tu post.. Pero solo eso.

      Estamos para eso no? Para postear preguntas y soluciones…!

      Tranquilo men, tu sigue tu labor que nosotros con gusto la nuestra..!

      Y además de ese fallo se ha encontrado otro, aquí el tema en cuestión: Más Bugs de Joomla 1.5.9
      Necesitarán ser usuarios del sitio para poder ver el post.

      Saludos.

Mostrando 4 respuestas a los debates
  • Debes estar registrado para responder a este debate.
Si te ha servido... ¡ Compartelo en tus Redes Sociales !
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad