Jika situs kamu menggunakan CMS Joomla, pastikan kamu telah memperbarui platform Joomla kamu ke versi terbaru yang dirilis tanggal 17 Mei kemarin. Karena rilisan tersebut merilis patch kerentanan kritis SQL Injection.
Joomla, Sistem Manajemen Konten open source terpopuler kedua di dunia, dilaporkan telah menambal kerentanan kritis pada komponen inti perangkat lunaknya.
Administrator situs web sangat disarankan untuk segera menginstal versi Joomla terbaru 3.7.1, yang dirilis 5 hari yang lalu. Untuk menambal kerentanan SQL Injection yang kritis (CVE-2017-8917) yang hanya mempengaruhi versi Joomla 3.7.0.
“Penyaringan data permintaan yang tidak memadai menyebabkan kerentanan SQL Injection.” Menurut sebuah catatan.
Kerentanan SQL injection di Joomla 3.7.0 dilaporkan secara bertanggung jawab oleh Marc-Alexandre Montpas, seorang peneliti keamanan di Sucuri minggu lalu ke perusahaan tersebut.
Menurut peneliti, ‘Kerentanan mudah untuk dieksploitasi dan tidak memerlukan akun istimewa di situs korban’, yang memungkinkan peretas mencuri informasi sensitif dari database dan mendapatkan akses tidak sah ke situs web secara remote.
Kerentanan kritis SQL Injection ini berasal dari parameter com_fields, yang diperkenalkan pada versi 3.7.
/index.php?option=com_fields&view=fields&layout=modal
“Jadi untuk mengeksploitasi kerentanan ini, semua yang harus penyerang lakukan adalah menambahkan parameter yang tepat ke URL. Untuk menginjeksi nasted query SQL.” Kata peneliti.
Joomla 3.7.0 Proof-of-Concept Exploit:
http://target-joomla-website.com/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(1,concat(0x3e,user()),0)
Karena peretas tidak akan meluangkan banyak waktu untuk memanfaatkan kerentanan ini terhadap jutaan situs web. Kami menyarankan untuk mendownload versi terbaru Joomla untuk situs web kamu.
