CMSTECNO

Actualmente es posible encontrar varias extensiones Joomla con vulnerabilidades XSS que pueden ser explotadas. En efecto en este artículo se esgrime de manera superficial como los administradores de sitios que funcionen bajo este gestor pueden defenderse contra ellos.

Incluso para los usuarios avanzados esta vulnerabilidad puede ser difícil de resolver, puesto que la podemos encontrar en diferentes formas, tales como bugs mediante URl, a través de este, las solicitudes de paginas pueden ser modificadas a la hora de validación. Esto es posible puesto que a través de envío de enlaces fraudulentos, el incauto usuario cae en ellos como si estos fueran los reales, utilizando XSS de forma continuada y persistente.

Lo recomendable es realizar un chequeo completo, con el fin de encontrar dichas vulnerabilidades y resolverlas de la forma más rápida y eficiente posible.

Tags: Joomla, vulnerabilidad, XSS

Al parecer el gestor de contenidos posee más falencias de las esperadas, razón por la cual se ha hecho inevitable, la salida de una nueva actualización.

Uno de los principales fallos corregidos en esta ocasión tiene que ver con problemas encontrados en XSS. Sin ir más lejos el problema en cuestión se encontró en el tablero de administración, que mostraba con absoluta propiedad la URL de los comentarios sin someterlos a un proceso de depuración respectivo.

Gracias a esta vulnerabilidad era posible introducir todo tipo de código malicioso, el cual tenía como objetivo redirigir las cuentas de los administradores a otros sitios. Para llevar a cabo la actualización correspondiente solo es necesario acceder al menú de herramientas y descargar el paquete respectivo.

Tags: actualizacion, vulnerabilidad, Wordpress 2.8.2

Como un fallo critico, este bugs encontrado por el equipo de Microsoft ha detonado que de forma rápida y nunca antes realizada se ponga a disposición un parche, puesto que todavía solución definitiva no existe.

Esta solución provisional tiene como fin paralizar la vulnerabilidad existente en el apartado de Control ActiveX, la que básicamente otorga la posibilidad de que cualquier ente dañino infecte nuestro ordenador si corremos como sistema operativo Windows XP o Windows Server 2003.

La activación del atacante se desarrolla cuando pulsamos cualquier enlace maligno que nos dirigirá a una visualización de video dentro del navegador, permitiendo la ejecución de código malicioso que con permisos administrativos puede fácilmente dejar inutilizado nuestro PC.

Para resolver de momento este fallo hay que dirigirse al siguiente enlace puesto por Microsoft para descargar la solución provisoria en caso de correr posibles amenazas.

Tags: fallo, Internet Explorer 8, Microsoft, vulnerabilidad

Una nueva vulnerabilidad en PHP se ha encontrado. Esta vez afecta la extensión de tratamiento de cadenas con tipografía multibyte, y como consecuencia esta podría permitir a un atacante ejecutar código arbitrario.

Las versiones vulnerables son todas las anteriores a la 4.3.0 y 5.2.7. El problema ha sido solucionado en la versión 5.2., la cual puedes descargar en www.php.net.

Las funciones afectadas (entre otras) son:
mb_convert_encoding()
mb_check_encoding()
mb_convert_variables()
mb_parse_str()

Fuente: hispasec

Tags: PHP, vulnerabilidad

Se ha dado a conocer una vulnerabilidad  en phpMyAdmin 2.x y 3.x, la popular herramienta de administración de MySQL, escrita en PHP. Este fallo (serio según el equipo de desarrollo de phpMyAdmin) está causado porque el valor de entrada pasado al parámetro “sort_by” en “server_databases.php” no se limpia de forma adecuada antes de ser utilizado, pudiendo ser aprovechado por un atacante remoto para ejecutar código PHP arbitrario, y así comprometer el sistema.

El problema afecta a las versiones anteriores a la 2.11.9.1 de phpMyAdmin y también a la 3.0.0 RC1, recomendando actualizar a las versiones no vulnerables.

Fuente: hispasec

Tags: phpMyAdmin, vulnerabilidad