Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Jobba på CERT-SE? Nu söker vi en förvaltningsledare IT inom cybersäkerhet med sista ansökningsdag 17 augusti, samt en administrativ stjärna med it-säkerhetskunskap till vår desk med sista ansökningsdag 23 augusti.

Publicerad - Sårbarhet, Joomla

Joomla rättar kritisk sårbarhet

Joomla v3.6.4 rättar två sårbarheter som gör det möjligt att skapa nya administratörer på webbsajten.
Den ena sårbarheten upptäcktes 18 oktober och den andra upptäcktes 21 oktober.

Det finns färdiga attack-skript för att skapa användare som kan användas för att ladda upp egna filer till webbsajten, t.ex s.k. webbskal:
1) Run script, get user access
2) [optional] - Activate your account
3) Go to Content > Media
4) Click 'Options'
5.1) Add php3, php4, php5, pht to 'Legal Extensions' & Legal Image Extensions
5.2) Disable 'Restrict Uploads' & 'Check MIME Types'
6) Upload '.pht' file with: <?= system($_GET['x']);
7) Pwned
som beskrivet här: https://github.com/XiphosResearch/exploits/tree/master/Joomraa

Information om uppdateringen:

https://www.joomla.org/announcements/release-news/5678-joomla-3-6-4-released.html