هفته گذشته جزئیاتی مربوط به آسیبپذیری در نسخههای قدیمی سیستم مدیریت محتوای جوملا (CMS)، یک نرمافزار محبوب مبتنی بر وب برای ایجاد و مدیریت وبسایتها منتشر شد. این آسیبپذیری توسط یک محقق امنیتی ایتالیایی به نام «آلساندرو گروپو» از گروه Hackective Security کشف شده و بر تمام نسخههای جوملا از 3.0.0 تا 3.4.6 که بین اواخر سپتامبر 2012 تا اواسط دسامبر 2015 منتشر شده اند، تأثیرگذار است.
گروپو گفته این آسیبپذیری، مشابه یک آسیب پذیری دیگر است که با شناسه “CVE-2015-8562” شناخته می شود و میتواند منجر به اجرای کد از راه دور بر روی سایت های قربانی شود. لازم به ذکر است آسیب پذیری CVE-2015-8562 سوءاستفاده مشهوری از جوملا است که تا امروز نیز مورد بهره برداری های فراوانی قرار گرفته است. هنگامی که این آسیب پذیری در دسامبر 2015 کشف شد، یک آسیبپذیری روز صفر بود و هکرها برای نفوذ به سایتها از آن بهره میبردند. شایان ذکر است آسیب پذیری روز صفر به آسیب پذیری هایی گفته می شود که ناشناخته بوده و هنوز شناسه CVE ندارند.
تفاوت بین کشف گروپو و آسیبپذیری سال 2015 این است که کشف وی تعداد کمتری از سایتهای جوملا یعنی تنها نسخههای 3.x را تحت تأثیر قرار میدهد در حالی که آسیب پذیری CVE-2015-8562 تمام نسخههای موجود را آلوده میکند. آسیبپذیری کشف شده توسط گروپو با وجود تأثیرگذاری بر تعداد کمتری از سایتها پیامدهای گسترده تری دارد زیرا در مقایسه با نسخه های قدیمی، کاملاً مستقل از سرور است.
بسیاری از مالکان وبسایتها به دلیل ناسازگاری افزونه و تم معمولاً از نسخه های منسوخ CMS استفاده می کنند. با این حال آنها نیازی به بهروزرسانی آخرین نسخه برای محافظت از سایت هایشان ندارند؛ البته اگر این کار را انجام دهند، بسیار بهتر است.
بهروزرسانی به نسخههای 3.4.7 یا بالاتر جوملا از حملات جلوگیری میکند. هم اکنون آخرین نسخه جوملا 3.9.12 در دسترس کاربران قرار گرفته است. نسخه نمایشی که نشانگر نحوه عملکرد این آسیب پذیری است به همراه توضیحات فنی در وبلاگ خود گروپو موجود است. کدهای اثبات مفهومی نیز طی هفته گذشته در Exploit-DB بارگذاری شدهاند.