| اصدار أمني 1.5.13 من جملة! لاصلاح ثغرة خطيرة |
| الكاتب عبدالمهيمن الآغا |
| الجمعة, 24 يوليو 2009 20:43 |
|
أعلن فريق تطوير سكريبت ادارة المحتوى جملة! عن اطلاق الاصدار 1.5.13 لاصلاح ثغرتين اكتشفوا مؤخرا واحدة منهم شديدة الخطورة حيث يتمكن المهاجم من استغلالها لرفع ملفات للسيرفر مع القدرة على حذف الملفات الموجودة أيضا! وثغرة أخرى متوسطة الخطورة تمكن المهاجم من الوصول المباشر لبعض الملفات مما يؤدي لكشف مسار جملة! على السيرفر.
يعود سبب الثغرة الأولى لخطأ في اعدادات محرر جملة الافتراضي TinyMCE الذي تم تحديثه مؤخرّا عندما تم اصدار Joomla! 1.5.12 فيستغل المهاجم هذا الخطأ لرفع ملفات على السيرفر بشكل مباشر دون الحاجة لتسجيل دخول أو امتلاك أي تصريح لذلك! أما الثغرة الثانية فأصابت جميع اصدارات السلسلة 1.5 من سكريبت جملة ويعود سببها لعدم وجود دالة JEXEC في بداية الملف تمنع المستخدمين من الوصول المباشر لهذه الملفات فيستغلها المهاجم لكشف مسار سكريبت جملة! في السيرفر: http://www.example.com/joomla-1.5.12/libraries/joomla/utilities/compat/php50x.phphttp://www.example.com/joomla-1.5.12/libraries/joomla/client/ldap.php http://www.example.com/joomla-1.5.12/libraries/joomla/html/html/content.php ننصح الجميع بتحديث جملة! 1.5.12 الى الاصدار 1.5.13 بأسرع وقت ممكن عن طريق تحميل هذا الملف واستبدال ملفات الموقع بحسب الملفات الموجودة فيه أو القيام بتحميل الحزمة المناسبة من هذه الصفحة في حال استخدام اصدار أقدم من 1.5.12.
لمزيد من المعلومات: BID 35780 - Joomla - الاستغلال التعليقات (1)
 أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
جمله تختلف عن باقي المجلات بتحكم شبه كامل بمساحة صاحب الموقع
وهنا المصيبه اي خلل امني يعرض الموقع كاملا للخطر
لا أعلم لماذا جمله ؟ ولكن تجربتي لها
اثبتت بأنها معقده بالتركيب والإداره والدعم
وحتى في تصميم قوالبها
ولكن أجمل ما فيها قوالبها الني يتم تصميمها من شركات عالمية
, ما الباقي فغالبا ستجده في عدة مجلات
كنت أريد تركيبها سابقا في أحد المواقع لسبب ومنعني من تركيبها عدة أسباب !