Ajay Singh Negi ha descubierto un grave problema en la seguridad de Joomla! de modo que un atacante podría esquivar las restricciones de seguridad y ataques de cross-site request forgery (CSRF) a través de clickjacking.
Joomla es un sistema de gestión de contenidos o CMS, de código abierto y programado en su mayor parte en PHP. Se utiliza mucho para diseñar portales y sitios web. Es un sistema muy potente gracias a sus extensiones y su fácil integración con el sistema.
El CSRF es una técnica contrastada que permite realizar peticiones http sin una correcta validación. Por ejemplo, si un usuario está validado en una web con autenticación y desde el navegador visita otra web que esconde una petición HTTP hacia esa página que necesita validación.
La petición http, en forma de enlace, es cargada sin saberlo y realiza una acción sobre la página en al que se encuentra autenticada.
Joomla permite a los usuarios realizar acciones a través de http que no están bien validadas. Si visitamos un enlace manipulado hacia Joomla, podrían atacar al portal eludiendo las restricciones de seguridad.
Joomla permite a los usuarios realizar acciones a través de http que no están bien validadas. Si visitamos un enlace manipulado hacia Joomla, podrían atacar al portal eludiendo las restricciones de seguridad.
No hay comentarios:
Publicar un comentario