آسیب پذیری های کشف شده در جوملا (January 2021)

طبق روال همیشگی بعضی از آسیب‌پذیری‌های کشف شده در انواع سیستم‌های مدیریت محتوا را بررسی می‌کنیم. اگر مقالات ما را دنبال کرده باشید می‌دانید که در مقالات گذشته آسیب‌پذیری‌های وردپرس را به صورت دوره‌ای معرفی و هرکدام را بررسی کرده‌ایم. در این مطلب قصد داریم به معرفی اولین آسیب‌پذیری‌های کشف شده در سال جدید میلادی در سیستم مدیریت محتوای جوملا بپردازیم.

تمامی این آسیب‌‎پذیری‌ها در هسته جوملا بوده و در نسخه 3.9.24 برطرف شده‌اند. دقت کنید، در صورتی که CMS سایت شما Joomla است، حتماً باید هرچه سریع‌تر آن را به نسخه جدیدتر به‌روزرسانی کنید.

اگر می‌خواهید با ماهیت این سیستم‌ها یا اصطلاحاً CMS آشنا شوید، بد نیست مقاله CMS چیست را مطالعه کنید.

آسیب‌پذیری XSS در پارامترهای تصویر com_tags

به دلیل یک نقص امنیتی مربوط به پارامترهای تصویر در com_tags، امکان اجرای حمله XSS در وب‌سایت وجود خواهد داشت.

درجه اهمیت: پایین (Low)

نسخه‌های آسیب‌پذیر جوملا: 3.1.0 – 3.9.23

راه حل رفع مشکل: آپدیت به نسخه 3.9.24

آسیب‌پذیری XSS در mod_breadcrumbs aria-lable

این مورد نیز مانند آسیب‌پذیری قبل، به دلیل یک نقص امنیتی مربوط به خصوصیت mod_breadcrumbs aria-lable، امکان اجرای حمله XSS را به هکر می‌دهد.

درجه اهمیت: پایین (Low)

نسخه‌های آسیب‌پذیر جوملا: 3.9.0 – 3.9.23

راه حل رفع مشکل: آپدیت به نسخه 3.9.24

آسیب‌پذیری Module Name Exposure

به دلیل عدم بررسی ACL ها در قسمت orderPosition مربوط به com_modules، می‌توان نام ماژول‌هایی که منتشر نشده یا غیرقابل دسترس هستند را به دست آورد.

درجه اهمیت: پایین (Low)

نسخه‌های آسیب‌پذیر جوملا: 3.0.0 – 3.9.23

راه حل رفع مشکل: آپدیت به نسخه 3.9.24

امیدواریم این مطلب در جهت بهبود امنیت سایت شما مفید بوده باشد.

تمام

یادتان باشد که دو مورد از این آسیب‌پذیری‌ها از نوع XSS است؛ در این نوع حملات با ارسال درخواست‌های جعلی و قرار دادن کدهای مخرب در سایت، ایمیل و لینک‌های آلوده، اقدام به دزدیدن رمز عبور و فعالیت‌های هکری دیگر می‌شود. پس اقدامات گفته شده در این مقاله را جدی بگیرید و هرچه سریع‌تر سیستم مدیریت محتوای Joomla را آپدیت کنید.

اگر سوالی داشتید، در بخش نظرات همین پست مطرح کنید.