Exploit 0-day para Joomla

Se ha encontrado una nueva vulnerabilidad 0-Day en Joomla!. La misma fue descubierta por el investigador italiano Alessandro Groppo de Hacktive Security y afecta a todas las versiones de Joomla! que se encuentran entre la 3.0.0 y la 3.4.6 es decir, las lanzadas entre septiembre de 2012 y diciembre de 2015.

Para otro tipo de productos hablaríamos de una vulnerabilidad antigua, pero no en el caso de Joomla!, un CMS que muchos administradores web son reacios a actualizar por diversos motivos: los contenidos no se actualizan con tanta frecuencia como en un CMS como WordPress y son notorias las incompatibilidades que presentan muchos plugins y temas cada vez que este CMS se actualiza a una nueva versión.

Explotar esta nueva vulnerabilidad resulta bastante sencillo, casi trivial y ya está siendo utilizada in-the-wild: basta una inyección de código PHP en la misma página login de la aplicación, para que un atacante pueda ejecutar a continuación código de forma remota en el servidor.

Esta vulnerabilidad recuerda a la conocida CVE-2015-8562 un conocido exploit descubierto en 2015 y que aún causa serios problemas en cientos de webs de todo el mundo. La principal diferencia es que en este caso el número potencial de páginas afectadas sería inferior ya que mientras que esta afecta solo a las versiones comprendidas en la rama 3.x, la anterior incluía desde las 1.5x hasta las 3.x.

Pese a ello en este caso el impacto sería mayor, ya que a diferencia de la anterior, la vulnerabilidad es independiente a la versión de PHP que utilice el servidor. La buena noticia es que la vulnerabilidad ya ha sido parcheada pero eso sí, todos los administradores de estos sites deberían actualizar su CMS a cualquier versión de Joomla! 3.4.7 o posterior (la versión actual es la 3.9.12).

Fuente: ZDNet