HSC : Vulnérabilité 0day dans Joomla
août 2008 par HSC
Date : 13-08-2008
Criticité HSC : 4/5 - haute
Avis public : Oui
Exploitation : Disponible et publique
Résumé : Une vulnérabilité de type 0day, publiée le 12 août, circule sur internet, permettant à un attaquant anonyme d’administrer Joomla et ainsi de modifier le site web basé sur Joomla.
Source : Full Disclosure
Objet : Joomla
Description :
Une erreur de validation des données du formulaire dans
/components/com_user/controller.php, dans le module de validation du
jeton permettant de changer le mot de passe administrateur, permet à un
attaquant anonyme de procéder au changement de mot de passe.
L’exploitation de cette vulnérabilité est triviale et a été rendue
publique le mercredi 12 août.
Il a été mentionné que cette vulnérabilité a déjà été exploitée dans la
nature avant sa publication.
Références :
http://developer.joomla.org/security/news/241-20080801-core-password- remind-functionality.html