Joomla - множественные sql-инъекции компонентов
В двух компонентах CMS Joomla обнаружены уязвимости класса sql-инъекция: com_rsgallery2 v1.6 и com_jajobboard v1.5. Уязвимости позволяют злоумышленнику удаленно выполнить произвольные SQL команды, что может поставить под угрозу как само веб-приложение, так и базы данных.
Уязвимость компонента com_rsgallery2 содержится в параметре gid, а в компоненте com_jajobboard уязвимыми параметрами выступают job_tags и Itemid, находящиеся в модуле jajobs.
Обе уязвимости представляют собой классические SQL-инъекции, позволяющие любому неавторизованному пользователю получить доступ к конфиденциальной информации.
RSGallery2 v1.6
/index.php?option=com_rsgallery2&page=inline&Itemid=&lang=en&gid=[SQL-INJECTION]&limitstart=1
JoomlArt v1.5
/index.php?option=com_jajobboard&view=jajobs&layout=jalist&job_tags=[SQL-INJECTION]&Itemid=[SQL-INJECTION]
Использование Web Application Firewall позволяет блокировать подобные атаки.