Avisos 13 de August, 2012

Vulnerabilitat al component FireBoard per Joomla!

S'han fet públics detalls de una vulnerabilitat al component de fòrums FireBoard per al gestor de continguts de codi obert Joomla!. La vulnerabilitat és de tipus injecció SQL, i podria permetre a un atacant remot sense autenticació extreure i modificar informació de la base de dades.

Impacte
Injecció SQL.


Productes afectats
•    FireBoard per Joomla!
•    Kunena 1.0.x, altres versions pendents de confirmació.
NOTA: L'última versió del component FireBoard data de l'any 2008, és probable que totes les versions publicades estiguin afectades.


Solució
Aquest component s'ha deixat de desenvolupar, i no hi ha suport dels desenvolupadors originals. Per tant, és poc probable que es publiqui una actualització que solucioni la vulnerabilitat.
Recomanem migrar a alguna solució alternativa de sistema de fòrums en Joomla!  Una possible solució és la versió més actualitzada de Kunena, un "fork" de FireBoard. Les versions antigues de Kunena també estan afectades per la vulnerabilitat.


Detall
Hi ha una vulnerabilitat d'injecció SQL al mòdul com_fireboard del Sistema de Gestió de Continguts Joomla. Els atacants remots i comptes d'usuari poden executar/injectar comandes SQL per a comprometre el DBMS de l'aplicació. La vulnerabilitat es troba al paràmetre "func", quan els valors comencen per "fb_".
L'explotació amb èxit de la vulnerabilitat, pot donar com a resultat el compromís del servidor de base de dades o de l'aplicació web.


Referències
•    Avís de seguretat a la lista Bugtraq
http://www.securityfocus.com/archive/1/523839

Publicat a: Avisos