Categories: SeguridadVirus

Vulnerabilidades en varios módulos para Mambo CMS

Mambo es un popular sistema de portales CMS basado en el lenguaje de programación PHP y base de datos de código abierto, para el que existen gran cantidad de módulos y componentes adicionales.

Las vulnerabilidades más recientes, del día 14 y 11 de julio, se dan en el componente SiteMap y PccookBook. En ambas el fallo se debe al parámetro mosConfig_absolute_path en sitemap.xml.php y pccookbook.php respectivamente, que no es debidamente depurado y puede llevar a la inclusión de ficheros en el servidor. Para aprovechar los fallos es necesario que register_globals esté habilitado.

Se ha identificado también una vulnerabilidad en el módulo ExtCalendar para Mambo. El fallo se debe a un error de validación de entrada en el parámetro mosConfig_absolute_path del script extcalendar.php, que puede aprovecharse también para incluir archivos en el sistema y ejecutar comandos arbitrarios con los privilegios del servidor web.

El día 8 se encontraron además varias vulnerabilidades en los módulos Simpleboard y com_forum para Mambo que también pueden ser aprovechadas para incluir ficheros en el sistema y ejecutar comandos arbitrarios con los privilegios del servidor web.

Por último, el día 4 de julio se dio a conocer un fallo en el módulo Galleria que puede ser aprovechado para comprometer un sistema vulnerable. El error se debe al parámetro mosConfig_absolute_path en galleria.html.php, que no es convenientemente verificado antes de ser usado para incluir ficheros. Para aprovechar el fallo es necesario que register_globals esté habilitado.

Para todos existen pruebas de concepto capaces de aprovechar las vulnerabilidades. Se recomienda actualizar cuanto antes los módulos si se tienen habilitados y estar atentos a posibles nuevas alertas de seguridad, muy habituales en esta aplicación web.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Los envíos de tabletas crecen por tercer trimestre consecutivo

Durante los meses de julio, agosto y septiembre se acumularon 37,4 millones de unidades en…

7 horas ago

Ni siquiera la mitad de las iniciativas digitales termina en éxito

El año que viene más del 80 % de los CIO de EMEA incrementará sus…

8 horas ago

La inteligencia artificial generará el 3,5 % del PIB mundial en 2030

IDC prevé "consecuencias económicas profundas", incluyendo la transformación de industrias y la creación de nuevos…

9 horas ago

Proton Drive añade un modo de sugerencias cifrado de extremo a extremo

Proton también introduce enlaces públicos y anuncia la función de "compartido conmigo" para la aplicación…

9 horas ago

Los hijos de un 41 % de los teletrabajadores españoles conocen la contraseña de acceso a sus dispositivos

Son minoría los padres que utilizan la autenticación multifactor y las redes privadas virtuales cuando…

10 horas ago

Infobip integra su plataforma con Oracle Fusion Cloud Responsys Campaign Management

El objetivo es enriquecer las experiencias conversacionales para potenciar la lealtad de los clientes.

11 horas ago