Lucene search
K
Database
Vendors
Products
Years
CVSS
Scanner
Agent Scanning
API Scanning
Manual Audit
Perimeter Scanner
Scanning
Projects
Email
Webhook
Plugins
Resources
Documents
Blog
Glossary
FAQ
Pricing
Contacts
About Us
Partners
Branding Guideline
securityvulnsSecurityvulnsSECURITYVULNS:DOC:25184
HistoryNov 28, 2010 - 12:00 a.m.

Уязвимости в Joomla

2010-11-2800:00:00
vulners.com
19
JSON

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Insufficient Anti-automation и Abuse of Functionality уязвимостях в Joomla. Уязвимости имеют место в компоненте com_contact, который является стандартным компонентом Joomla.

Детально о подобных уязвимостях, о рассылке спама через сайты и создании спам-ботнетов можно прочитать в моей статье Sending spam via sites and creating spam-botnets (http://www.webappsec.org/lists/websecurity/archive/2010-07/msg00099.html).

Insufficient Anti-automation (WASC-21):

http://site/contact/

На странице контактов нет защиты от автоматизированных запросов (капчи).

Abuse of Functionality (WASC-42):

http://site/contact/

Опция "E-mail a copy of this message to your own address." на странице контактов позволяет рассылать спам с сайта на произвольные емайлы. А с использованием Insufficient Anti-automation уязвимости можно автоматизировано рассылать спам с сайта в больших объёмах.

Уязвимы все версии Joomla с данным функционалом (Joomla! 1.5.22 и предыдущие версии).

Разработчики Joomla отказались исправлять данные уязвимости в своей системе.

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4536/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua

JSON