Af Torben B. Sørensen, 18/05/17
Udviklerne af CMS'et Joomla har lukket et alvorligt sikkerhedshul, der giver mulighed for SQL-indsætning.
Fejlen findes kun i Joomla 3.7.0. Den ligger i den nye komponent com_fields, som blev introduceret i den version.
Enhver kan udnytte sårbarheden til at indsætte SQL-kommandoer i URL'er. Man behøver ikke være oprettet på webstedet.
Fejlen er rettet i Joomla 3.7.1.
Anbefaling
Opdater til Joomla 3.7.1.
Links
- Joomla! 3.7.1 Release
- SQL Injection Vulnerability in Joomla! 3.7, blogindlæg fra Sucuri
- Critical SQL Injection Flaw Patched in Joomla, artikel fra SecurityWeek