Joomla publicó el jueves una nueva versión de su gestor de contenidos, 3.4.5; corrige una vulnerabilidad crítica de inyección SQL que puede permitir a los atacantes obtener acceso a los datos en el backend de cualquier sitio que emplee esta plataforma.

El fallo existe en las versiones 3.2 a 4.4.4 del gestor de contenidos y podría combinarse con otras dos vulnerabilidades para llevar a cabo un ataque, advirtieron expertos el día jueves.

Con cerca de 3 millones de instalaciones activas, Joomla es el segundo en popularidad aunque con una gran distancia detrás de Wordpress.

Asaf Orpani, investigador en Spiderlabs de Trustwave, descubrió los tres fallos y advirtió que un atacante puede secuestrar la sesión de administración, explotar la vulnerabilidad principal y a partir de ahí, obtener acceso al sitio, dejándolo abierto para futuros ataques.

Desde que el fallo existe en el módulo principal de Joomla, Trustwave advirtió que cualquier sitio que lo ejecute, incluyendo varios sitios de comercio electrónico, pueden ser vulnerables.

Orpani indica que el código PHP de un archivo en la carpeta Administrator de Joomla es el centro del fallo y es vulnerable a la inyección de SQL, ya que al explotarla un atacante puede obtener el ID de sesión. Al tomarlo y colocarlo en la sección de la cookie de la petición de acceso a la sección admin, un atacante obtendrá privilegios de administrador, escribió Orpani en una descripción del fallo.

"Pegar el ID de sesión obtenido (el cual sería de un administrador en este caso) en la sección de la cookie en la petición GET nos permite acceso a la sección de administrativa", escribió Orpani, "también habremos ganado privilegios de administrador y acceso al panel de administración y visibilidad del panel de control. Y eso es todo: "¡habremos comprometido el sitio!"

La actualización también corrige dos pares de revisiones inadecuadas a las listas de control de acceso, de acuerdo al aviso de Joomla's Developer Network, las cuales pueden proporcionar acceso de lectura a datos que deben tener acceso restringido en las versiones 3.2.0 a 3.4.4 y de la 3.0 a la 3.4.4 del gestor de contenidos, respectivamente.

Fue una respuesta rápida por parte de Joomla, quienes tardaron ocho días en reparar el fallo. Mientras Orpani comenzó a revisar el fallo en agosto, no fue hasta el 12 de octubre cuando se logró generar una prueba de concepto completa. Varios días después de que otros investigadores de Spiderlabs ayudaran a verificar el fallo, Trustwave informó a Joomla.

El año anterior, le tomó más de un mes a Joomla corregir otro fallo de inyección SQL cuando investigadores de Sucuri dieron a conocer el fallo a la compañía.