CH azonosító
CH-6706Angol cím
Joomla! Phoca Favicon Component Insecure Directory Permissions WeaknessFelfedezés dátuma
2012.04.16.Súlyosság
AlacsonyÉrintett rendszerek
JoomlaPhoca Favicon component
Érintett verziók
Phoca Favicon 2.x (Joomla! component)
Összefoglaló
A Joomla! Phoca Favicon komponensének sérülékenysége vált ismertté, amelyet kihasználva rosszindulatú, helyi felhasználók módosíthatnak bizonyos adatokat és emelt szintű jogosultságokat szerezhetnek.
Leírás
A sérülékenység oka, hogy a komponens nem biztonságos jogosultsági beállításokat (777) alkalmaz az “images/phocafavicon” könyvtáron. Ezt kihasználva módosítani, törölni, létrehozni lehet az adott könyvtárban található fájlokat.
A sérülékenységet a 2.0.2 verzióban jelentették. Más kiadások is érintettek lehetnek.
Megoldás
Módosítsa a könyvtár jogosultságokat a hozzáférés korlátozása érdekében.
Támadás típusa
Hijacking (Visszaélés)Misconfiguration (Konfiguráció)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: docs.joomla.org
SECUNIA 48806