|
Здравствуйте 3APA3A!
Сообщаю вам о найденных мною Insufficient Anti-automation и Abuse of Functionality уязвимостях в Joomla. Уязвимости имеют место в компоненте com_contact, который является стандартным компонентом Joomla.
Детально о подобных уязвимостях, о рассылке спама через сайты и создании спам-ботнетов можно прочитать в моей статье Sending spam via sites and creating spam-botnets (http://www.webappsec.org/lists/websecurity/archive/2010-07/msg00099.html)
.
Insufficient Anti-automation (WASC-21):
http://site/contact/
На странице контактов нет защиты от автоматизированных запросов (капчи).
Abuse of Functionality (WASC-42):
http://site/contact/
Опция "E-mail a copy of this message to your own address." на странице контактов позволяет рассылать спам с сайта на произвольные емайлы. А с использованием Insufficient Anti-automation уязвимости можно автоматизировано рассылать спам с сайта в больших объёмах.
Уязвимы все версии Joomla с данным функционалом (Joomla! 1.5.22 и предыдущие версии).
Разработчики Joomla отказались исправлять данные уязвимости в своей системе.
Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4536/
Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua
|
