В популярной CMS Joomla! в версиях до 3.7 обнаружена SQL-инъекция.

Уязвимость может быть использована для получения доступа к информации в базе данных. Уязвимость существует из-за недостаточной фильтрации входных данных.

Брешь была найдена в модуле com_fields который предназначен увеличения скорости написания кода за счёт повторного использования его составных частей.

Пример эксплуатации:

/index.php?option=com_fields&view=fields&layout=modal

Любой, даже не авторизированный, пользователь может удаленно с помощью специально сформированного запроса выполнить произвольные команды к базе данных уязвимого приложения.

Использование Web Application Firewall позволяет блокировать подобные атаки.