AFS Informática

Suscríbete ahora a nuestra Newsletter

Se ha encontrado una nueva vulnerabilidad 0-Day en Joomla. La misma fue descubierta por el investigador italiano Alessandro Groppo de Hacktive Security y afecta a todas las versiones de Joomla que se encuentran entre la 3.0.0 y la 3.4.6 es decir, las lanzadas entre septiembre de 2012 y diciembre de 2015.

Para otro tipo de productos hablaríamos de una vulnerabilidad antigua, pero no en el caso de Joomla, un CMS que muchos administradores web son reacios a actualizar por diversos motivos: los contenidos no se actualizan con tanta frecuencia como en un CMS como WordPress y son notorias las incompatibilidades que presentan muchos plugins y temas cada vez que este CMS se actualiza a una nueva versión.

Explotar esta nueva vulnerabilidad resulta bastante sencillo, casi trivial y ya está siendo utilizada in-the-wild: basta una inyección de código PHP en la misma página login de la aplicación, para que un atacante pueda ejecutar a continuación código de forma remota en el servidor.

Auditorías de Seguridad en Málaga

Esta vulnerabilidad recuerda a la conocida CVE-2015-8562 un conocido exploit descubierto en 2015 y que aún causa serios problemas en cientos de webs de todo el mundo. La principal diferencia es que en este caso el número potencial de páginas afectadas sería inferior ya que mientras que ésta afecta solo a las versiones comprendidas en la rama 3.x, la anterior incluía desde las 1.5x hasta las 3.x.

Pese a ello, en este caso el impacto sería mayor, ya que a diferencia de la anterior, la vulnerabilidad es independiente a la versión de PHP que utilice el servidor. La buena noticia es que la vulnerabilidad ya ha sido parcheada pero eso sí, recomendamos a todos los administradores de estos sites que actualicen lo antes posible su CMS a cualquier versión de Joomla 3.4.7 o posterior (la versión actual es la 3.9.12).

Auditorías de Seguridad en Málaga


Desde AFS Informática recomendamos realizar auditorías periódicas y planes de concienciación continua de Ciberseguridad dentro de la empresa.

¿Te pareció interesante este artículo? Compártelo y ayúdanos a mejorar

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram

Puede que también te interese leer...

Diego Ariza

Perito Judicial Informático, experto en Informática Forense, Ciberseguridad y en Derecho Tecnológico. Certificaciones profesionales en Hacking Ético y Hacking Ético Experto, Hacking y auditorías Web y Hacking a dispositivos móviles. Consultoría y asesoramiento para empresas. Experto en desarrollo y securización de plataformas basadas en WordPress. Experto en implantación y auditoría de las principales normativas relacionadas con la seguridad para empresas: RGPD, ISO 27001, Esquema Nacional de Seguridad. Cibercooperante con el Instituto Nacional de Ciberseguridad de España (INCIBE), formador y ponente.

AFS Informática como Marca Blanca

Ofrece y externaliza nuestros servicios de Seguridad. Nunca contactaremos con tus clientes. Especial para gestorías, asesorías, bufetes de abogados, comerciales independientes, grandes empresas, etc...

Perito Judicial Informático Forense

¿Has sido o estás siendo víctima de una estafa o ataque informático?

Abrir chat