Znajdź zawartość
Wyświetlanie wyników dla tagów 'zabezpieczenie strony' .
Znaleziono 1 wynik
-
Dyskusja B2J Contact w Joomla - ogromna luka w kodzie
Wujek Ziemny opublikował(a) temat w Rozmowy o SEO
Jeśli posiadasz stronę opartą na Joomla i do tego używasz B2J Contact, to natychmiast zaktualizuj w/w wtyczkę! B2J Contact to popularny plugin, który pozwala na tworzenie formularzy kontaktowych w Joomla. Kosztuje jedynie $29, a w cenie dostajemy rok aktualizacji. Jeśli posiadasz tę wtyczkę w wersji starszej niż 2.1.13, musisz w tej chwili ją zaktualizować. Czemu? W B2j Contact, w starszej wersji znaleziono ogromnego buga, który zezwala na wrzucenie na hosting pliku o rozszerzeniu formatu graficznego, by następnie zmienić nazwę pliku i rozszerzenia tak, by plik ten był wykonywalny. Summa summarum hacker może w ten sposób nadpisać wszystkie nasze pliki i zyskać dostęp do wszystkiego, co mamy na swoim serwerze. Poniżej znajdziecie kod pliku b2juploader.php: protected function DoUpload() { ... $file = JRequest::getVar('b2jstdupload', NULL, 'files', 'array'); ... $upload_directory = JPATH_SITE . "/components/" . $GLOBALS["com_name"] . "/uploads/"; ... $filename = JFile::makeSafe($file['name']); $filename = uniqid() . "-" . $filename; $dest = $upload_directory . $filename; Nawet jeśli nie macie uruchomionej w formularzu opcji dodawania plików, kod pozwala na złamanie zabezpieczeń.
