joomla 1.5 i Jce–exploit dla modułu imgmanager. zdalne wgyrwanie plików sejeal.jpg.

Popularny edytor wizualny (WYSIWYG) dla Joomla 1.5 został użyty podczas ataku na wiele stron opartych o Joomla 1.5, w tym także na strony moich klientów firmowych. Atakujący korzystając ze spreparowanego wywołania POST, dzięki któremu mógł jako gość dodać obrazek z rozszerzeniem .GIF. Następnie podatność umożliwiała zmianę nazwy pliku na .PHP .

Ciekawy artykuł na temat samego ataku oraz kod źródłowy dostępny na stronie:

http://ustechnica.wordpress.com/2013/01/09/joomla-vulnerability/

Facebook - komentarze