SQL-инъекция в компоненте Joomla com_tag | Nemesida WAF

В популярном компоненте com_tag v1.7.6 Joomla найдена SQL-инъекция. Эта уязвимость позволяет злоумышленнику удаленно выполнять вредоносные SQL-команды для компрометации веб-приложения или доступа к базе данных.

Tag Meta – компонент, позволяющий эффективно управлять метаинформацией всего сайта.

Пример эксплуатации уязвимости:

/index.php?option=com_tag&task=tag&tag=-'[SQLi!]--

Уязвимость находится в параметре ‘tag’ GET-запроса и представляет собой классическую SQL-инъекцию, эксплуатация которой позволяет любому неавторизованному пользователю получить доступ к конфиденциальной информации.

Использование Web Application Firewall позволяет блокировать подобные атаки