В популярном расширении JCE (Joomla Content Editor) для CMS Joomla обнаружена критическая уязвимость типа Remote Code Execution (RCE). Проблема касается всех версий расширения ниже 2.9.99.5 и может использоваться злоумышленниками без аутентификации.
Описание уязвимости
Уязвимость позволяет неавторизованному пользователю создавать новые профили редактора JCE. Из-за ошибок контроля доступа и недостаточной проверки входных данных это открывает возможность:
— создание произвольных конфигураций профиля редактора;
— загрузка вредоносных PHP-файлов на сервер;
— дальнейшего выполнения произвольного PHP-кода на стороне сервера.
Фактически, успешная эксплуатация этой уязвимости предоставляет атакующему полный контроль над вебсайтом, включая доступ к файлам, базе данных и конфигурациям Joomla.
Потенциальные риски
Эксплуатация этой уязвимости может привести к:
— полного компрометирования сайта;
— размещение вредоносного ПО или фишинговых страниц;
— воровство персональных данных пользователей;
— использование сервера для последующих атак или рассылки спама;
— включение сайта в ботнет-сети.
Под угрозой находятся все сайты, использующие Joomla и имеющие установленное расширение JCE версии ниже 2.9.99.5;
Мы настоятельно рекомендуем клиентам немедленно выполнить следующие действия:
— Обновить JCE до версии 2.9.99.5 или более поздней.
— проверить сервер на наличие подозрительных или несанкционированных PHP-файлов.
— Просмотреть журналы доступа и ошибок (access/error logs) на предмет подозрительной активности.
— Временно ограничить доступ к административной части сайта по IP-адресам.
— использовать Web Application Firewall (WAF) для снижения риска эксплуатации известных уязвимостей.
— Регулярно обновлять все расширения и саму CMS Joomla.
Безопасность вашего сайта начинается с актуальных обновлений.
Мы рекомендуем не откладывать обновления и регулярно проверять состояние безопасности ваших веб-проектов. Также обращаем ваше внимание на то, что наш хостинг для Joomla полностью совместим с последними версиями этой CMS, поэтому обновленная версия будет работать без каких-либо проблем.