14 декабря 2015 года были выпущены патчи закрывающие критическую 0day уязвимость Joomla для всех версий с 1.5 по 3.4.5. По данным аналитиков, были зафиксированы случаи эксплуатации этой уязвимости с 12 декабря позволяющие выполнять сторонний код. Сколько сайтов скомпрометировано на сегодняшний день остается неизвестным.
Крайне рекомендуется обновить Joomla до версии 3.4.6, ведь с момента выхода Joomla 1.5 прошло уже более 8 лет и официально 1.5 и 2.5 уже не поддерживается разработчиком, но для них все равно были выпущены патчи закрывающие эксплуатацию этой уязвимости.
Естественно, мы не могли не отреагировать на уязвимость такого масштаба и 14-15 декабря мы выполнили применение патчей закрывающую эту уязвимость для всех сайтов на разных версиях Joomla расположенных на виртуальном хостинге. Но, стоит понимать, что за такой большой срок существования продукта у Joomla насчитывается более более 10 зафиксированных уязвимостей не меньшей критичности, в том числе предоставляющие злоумышленнику возможность выполнить сторонний код и таким образом получить доступ и к другим сайтам на аккаунте. Поэтому, владельцам сайтов настоятельно рекомендуется отслеживать выпуск новых версий используемых CMS и их модулей и выполнять своевременное обновление, миграцию на старшие ветки по мере истечения сроков поддержки текущих.
П'ятниця, Грудень 18, 2015