Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Vulnerabilidad en extensión de Joomla pone en riesgo a tiendas en línea
Una vulnerabilidad crítica en la extensión de comercio electrónico para el sistema de gestión de contenidos Joomla permite a los usuarios maliciosos ganar privilegios de superadministrador en sitios que ejecutan el software.
La extensión VirtueMart, que permite a los usuarios configurar tiendas en línea en sus sitios web, ha sido descargada más de 3.5 millones de veces, aseguró Marc-Alexandre Montpas, investigador de seguridad web de Sucuri, en un blog el pasado miércoles. "Con acceso de superadministrador, el atacante tiene control absoluto del sitio y la base de datos."El problema fue descubierto la semana pasada y fue parchado en VirtueMart 2.6.10 el 4 de septiembre. La página de VirtueMart en el catálogo de extensiones de Joomla recomienda lo siguiente a los usuarios: "Todos los que usan una versión anterior a 2.6.10 deben actualizar tan pronto como sea posible por cuestiones de seguridad".
Originalmente Sucuri publicó detalles técnicos acerca de la vulnerabilidad, pero fueron removidos a petición del desarrollador ya que el problema también podría afectar a otras extensiones.
"VirtueMart usa la clase JUser de Joomla que cega y guarda métodos para manejar la información de las cuentas de usuarios", Dijo Montpas. "No es un problema en sí mismo, pero esta clase es muy complicada y es fácil cometer errores. Realmente pensamos que el problema está en la propia clase de Joomla, por lo que no revelaremos más detalles."
Los desarrolladores de VirtueMart opinan lo mismo y desaprueban la decisión de Sucuri de hacer públicos los detalles, calificándolos como amateurs en Twitter y diciendo que VirtueMart no es el único componente del problema.
El sitio de VirtueMart contiene una larga lista de tiendas en línea construidas con esta extensión, probablemente tome tiempo hasta que los propietarios las actualicen en su totalidad, mientras tanto, los datos sensibles en la base de datos de las tiendas permanecerán en riesgo.
