أعلن فريق تطوير سكريبت ادارة المحتوى Joomla عن اصدار تحديث أمني عاجل يصلح أكثر من 26 مشكلة اكتشفت في سكريبت جملة! بالاضافة لثلاث ثغرات اثنتين منهم متوسطة الخطورة. يأتي هذا التحديث بعد مرور 3 أشهر تقريبا على اطلاق الاصدار 1.5.10 من جملة! بتاريخ 13 مارس (آذار) 2009.

Joomla! يعود سبب الثغرات المكتشفة لخطأ في طريقة تحقق جملة! من مدخلات المستخدم مما يؤدي لثغرة XSS يتمكن المهاجم من استغلالها بعد توجيه المستخدم لرابط يحتوي على أكواد ضارة تؤدي لسرقة Cookies المستخدم والدخول لحسابه دون الحاجة لمعرفة كلمة المرور.

احدى الثغرات أصابت مكوّن المستخدمين com_users وأخرى أصابت قالب ja_purity (احدى قوالب جملة الافتراضية) وأخيرا مكوّن الواجهة الرئيسية Front-end في سكريبت جملة!

نحن ننصح جميع مستخدمي سكريبت جملة! 1.5 بالتحديث الفوري للاصدار 1.5.11 وتنصيب الرقع الأمنية بعد تحميلهم من هنا. حتى الآن لم ينتشر استغلال علني في مواقع الثغرات لكن يمكن لأي شخص أن يقارن الملفات الجديدة بالقديمة ويستنتج مكان الثغرة واستغلالها بسهولة.

لمزيد من المعلومات: Joomla.org

تحديث (2009-06-06): انتشر استغلال للثغرة بشكل علني تجدونه في موقع PacketStormSecurity.org

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn