พบช่องโหว่ Zero-day บน Joomla เวอร์ชั่นเก่า แนะนำอัปเดตด่วน!

ช่องโหว่ Zero-day บน Joomla นี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยจากอิตาลี Alessandro Groppo แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้ทำการฉีดโค้ด PHP ที่เป็นอันตรายลงบนเว็บของเหยื่อ เพื่อสั่งรันโค้ดจากระยะไกลได้

ช่องโหว่นี้มีผลกระทบกับ Joomla เวอร์ชั่น 3.0.0 -3.4.6 ที่ออกมาเมื่อมี 2012-2015
ใน Blog ของ Alessandro แจ้งว่าช่องโหว่นี้มีการทำงานคล้ายกับช่องโหว่หมายเลข CVE-2015-8562 ซึ่งทางผู้พัฒนา Joomla เองก็ได้ออกแพตช์เพื่ออุดช่องโหว่ หมายเลข CVE-2015-8562 เรียบร้อยแล้ว

ดังนั้น สำหรับผู้ใช้ Joomla เวอร์ชั่นเก่า ควรทำการอัปเดตเวอร์ชั่นโดยด่วน เพื่อเป็นการป้องกันช่องโหว่นี้ ซึ่งเวอร์ชั่นล่าสุดคือ 3.9.12

สำหรับช่องโหว่ที่ Alessandro พบนั้น ยังไม่มีหมายเลข แต่ก็ได้มีการเปิดเผยการทำงานของช่องโหว่แล้ว ซึ่งสามารถดูได้ที่ Joomla 3.4.6 – ‘configuration.php’ Remote Code Execution

ที่มา : ZDNet