Joomla — множественные sql-инъекции компонентов

В двух компонентах CMS Joomla обнаружены уязвимости класса sql-инъекция: com_rsgallery2 v1.6 и com_jajobboard v1.5. Уязвимости позволяют злоумышленнику удаленно выполнить произвольные SQL команды, что может поставить под угрозу как само веб-приложение, так и базы данных.

Уязвимость компонента com_rsgallery2 содержится в параметре gid, а в компоненте com_jajobboard уязвимыми параметрами выступают job_tags и Itemid, находящиеся в модуле jajobs.

Обе уязвимости представляют собой классические SQL-инъекции, позволяющие любому неавторизованному пользователю получить доступ к конфиденциальной информации.

RSGallery2 v1.6

/index.php?option=com_rsgallery2&page=inline&Itemid=&lang=en&gid=[SQL-INJECTION]&limitstart=1

JoomlArt v1.5

/index.php?option=com_jajobboard&view=jajobs&layout=jalist&job_tags=[SQL-INJECTION]&Itemid=[SQL-INJECTION]

Использование Web Application Firewall позволяет блокировать подобные атаки.