Новая версия CMS Joomla — 3.8.4 — содержит более ста исправлений и улучшений, некоторые из них закрывают бреши в системе безопасности.

Компания исправила три уязвимости, связанные с межсайтовым скриптингом (XSS) — технологией внедрения вредоносного кода на страницы веб-ресурса. Проблемы не являются критическими, всем им присвоен низкий приоритет.

Одна из ошибок известна с ноября прошлого года, две другие обнаружены несколько недель назад. Обновление закрывает баги в библиотеке module chromes, а также в компонентах com_fields и Uri class.

Большую угрозу безопасности представляет внедрение SQL-кода — уязвимость, при помощи которой злоумышленник может отправить сторонний запрос в базу данных сайта. Ошибку обнаружили специалисты компании RIPS Technologies. Разработчики Joomla классифицировали ее как незначительную, но опасную, и оперативно выпустили патч.

Уязвимость позволяет любому пользователю CMS получить права администратора и взять под контроль работу сайта. Атака состоит из двух этапов — сначала злоумышленник вносит произвольный контент в базу данных сайта, а потом при помощи специального SQL-запроса обрабатывает его. Полученная в результате информация может быть использована мошенником для получения root-привилегий.

Проблемы с правами доступа возникают у Joomla не в первый раз. В сентябре прошлого года разработчики CMS закрыли серьезную уязвимость, при помощи которой злоумышленники могли украсть учетные данные администратора.

Авторы других популярных систем управления сайтами тоже вынуждены время от времени выпускать срочные апдейты для устранения критических ошибок. Не так давно CMS WordPress потребовалось внеплановое обновление из-за проблемы, которая угрожала пользователям системы потерей контроля над сайтом.

Разработчики Drupal тоже не без греха — критические ошибки в ядре системы, которые позволяли выполнять сторонний код, привели к выпуску нового релиза безопасности летом прошлого года.

Категории: Кибероборона