Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1095
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
-
▼
octubre
(Total:
35
)
- Múltiples vulnerabilidades en los CMS de Joomla y ...
- Tor Messenger Beta, el chat fácil sobre la red Tor
- OnePlus X ya tiene precio y disponibilidad oficial...
- Android permitirá grabar la pantalla a través de G...
- ¿A qué edad debe tener un niño su primer teléfono ...
- Netflix publicará la velocidad real de conexión de...
- Ya es posible la configuración Multi-GPU Nvidia co...
- HTC Dream, el primer móvil con Android cumple 7 años
- Los clientes españoles de Ashley Madison están sie...
- SocialDrive te avisa de radares y controles polici...
- Premios Bitácoras 2015: Mejor Blog de Seguridad In...
- OVH World Tour en Barcelona
- Western Digital compra SanDisk por 19.000 millones...
- Rifle desactiva drones a una distancia de hasta 40...
- BackBox Linux 4.4 para realizar Pentesting
- Analizar APKs con AndroTotal y binarios con Revers...
- 9 de cada 10 ayuntamientos españoles son vulnerabl...
- EMET 5.5 incluye la posibilidad de bloquear la car...
- Adobe confirma importante vulnerabilidad de Flash,...
- El ransomware cifrador Shade de origen ruso
- Ataques de fuerza bruta con amplificación en WordP...
- [NocONName] Congreso No cON Name 2015 en La Salle
- Determinar extensión de un fichero mirando las cab...
- Hoox un teléfono ultraseguro a prueba de espías
- Neural Alfa, el teclado de SwiftKey basado en el a...
- Un gato buscando redes Wifi, haciendo Wardriving
- Google presenta oficialmente Android 6.0 Marshmallow
- Samsung no arreglará el Stagefright 2.0 en algunos...
- Google implementará HTTPS en Blogger
- Espiar el móvil de la pareja: dos años y medio de ...
- Phishing a Google a través de SMS supuestamente en...
- Botnet se aprovecha de sistemas Linux para realiza...
- Stagefright 2.0, nueva y grave vulnerabilidad en A...
- Modificación de mensajes manipulando la base de da...
- Descubre todo lo que Google sabe de ti
- ► septiembre (Total: 47 )
-
▼
octubre
(Total:
35
)
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
306
)
Malware
(
266
)
Windows
(
246
)
android
(
244
)
cve
(
238
)
tutorial
(
238
)
manual
(
223
)
software
(
206
)
hardware
(
197
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Los servidores MS-SQL están siendo hackeados a través de ataques de fuerza bruta o diccionario que aprovechan las credenciales de cuenta f...
-
Dado que Unbound DNS en OPNsense no soporta DNS sobre HTTPS (DoH) directamente, fue necesario utilizar el plugin DNSCrypt-Proxy. El plugin t...
Múltiples vulnerabilidades en los CMS de Joomla y Drupal
viernes, 30 de octubre de 2015
|
Publicado por
el-brujo
|
Editar entrada
Graves vulnerabilidades para dos de los gestores de contenidos de código abierto más populares.
Fuentes:
http://unaaldia.hispasec.com/2015/10/vulnerabilidades-en-joomla.html
http://unaaldia.hispasec.com/2015/10/actualizacion-de-seguridad-para-drupal.html
Se
han anunciado cinco vulnerabilidades
en Joomla! que podrían permitir a atacantes remotos realizar ataques de
inyección SQL o evitar las ACL.
Joomla es un popular gestor de
contenidos en código abierto, que cuenta con una gran cantidad de plantillas y
componentes que un usuario puedo utilizar para implementar de manera rápida una
aplicación web. Estos componentes son programados por todo tipo de
desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de
contenidos en un objetivo muy popular para que los atacantes.
Tres de los problemas residen en
un filtrado inadecuado de datos que pueden permitir la realización de ataques
de inyección SQL (CVE-2015-7297, CVE-2015-7857 y CVE-2015-7858). Por otra parte errores
en las comprobaciones de las listas de control de acceso (ACLs) en 'com_contenthistory' y 'com_content' podrán permitir acceso de
lectura a datos restringidos (CVE-2015-7859 y CVE-2015-7899).
Estas vulnerabilidades se dan en
las versiones 3.2.0 hasta la 3.4.4. Se ha publicado la versión 3.4.5 disponible
desde www.joomla.org
Ejemplos SQL Injection:
/index.php?option=com_contenthistory&view=history&list[ordering]=&item_id=75&type_id=1%20&list[select]=%20(select%201%20FROM(select%20count(*),concat((select%20(select%20concat(session_id))%20FROM%20jml_session%20LIMIT%200,1),floor(rand(0)*2))x%20FROM%20information_schema.tables%20GROUP%20BY%20x)a)
Más información:
Security Centre
http://developer.joomla.org/security-centre.html- https://www.trustwave.com/Resources/SpiderLabs-Blog/Joomla-SQL-Injection-Vulnerability-Exploit-Results-in-Full-Administrative-Access/?page=1&year=0&month=0
- https://blog.sucuri.net/2015/10/joomla-sql-injection-attacks-in-the-wild.html
Actualización de seguridad para Drupal
El
equipo de seguridad de Drupal ha solucionado una vulnerabilidad en Drupal
7 que podría permitir una redirección
HTTP no deseada.
Drupal es un CMF (Content
Management Framework) modular multipropósito y muy configurable, desarrollado
bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y
otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones,
blogs y administración de usuarios y permisos.
El problema solucionado (con CVE-2015-7943)
reside en el módulo Overlay usado para mostrar páginas del panel de administración
como una capa sobre la página activa (empleando JavaScript), en vez de
reemplazar la página en el navegador. Este módulo no valida adecuadamente las
URL antes de mostrar el contenido, lo que puede dar lugar a una redirección
abierta.
Afectan a las versiones 7.x
anteriores a 7.41, se recomienda la actualización a las versiones Drupal core 7.41.
Más información:
Drupal Core - Overlay - Less
Critical - Open Redirect - SA-CORE-2015-004
drupal 7.41
https://www.drupal.org/drupal-7.41-release-notesFuentes:
http://unaaldia.hispasec.com/2015/10/vulnerabilidades-en-joomla.html
http://unaaldia.hispasec.com/2015/10/actualizacion-de-seguridad-para-drupal.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
Etiquetas:
actualizaciones
,
cms
,
critical updates
,
drupal
,
joomla
,
oftware
,
seguridad
,
updates
,
vulnerabilidad
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.