Mambo es un popular sistema de portales CMS basado en el lenguaje de programación PHP y base de datos de código abierto, para el que existen gran cantidad de módulos y componentes adicionales.
Las vulnerabilidades más recientes, del día 14 y 11 de julio, se dan en el componente SiteMap y PccookBook. En ambas el fallo se debe al parámetro mosConfig_absolute_path en sitemap.xml.php y pccookbook.php respectivamente, que no es debidamente depurado y puede llevar a la inclusión de ficheros en el servidor. Para aprovechar los fallos es necesario que register_globals esté habilitado.
Se ha identificado también una vulnerabilidad en el módulo ExtCalendar para Mambo. El fallo se debe a un error de validación de entrada en el parámetro mosConfig_absolute_path del script extcalendar.php, que puede aprovecharse también para incluir archivos en el sistema y ejecutar comandos arbitrarios con los privilegios del servidor web.
El día 8 se encontraron además varias vulnerabilidades en los módulos Simpleboard y com_forum para Mambo que también pueden ser aprovechadas para incluir ficheros en el sistema y ejecutar comandos arbitrarios con los privilegios del servidor web.
Por último, el día 4 de julio se dio a conocer un fallo en el módulo Galleria que puede ser aprovechado para comprometer un sistema vulnerable. El error se debe al parámetro mosConfig_absolute_path en galleria.html.php, que no es convenientemente verificado antes de ser usado para incluir ficheros. Para aprovechar el fallo es necesario que register_globals esté habilitado.
Para todos existen pruebas de concepto capaces de aprovechar las vulnerabilidades. Se recomienda actualizar cuanto antes los módulos si se tienen habilitados y estar atentos a posibles nuevas alertas de seguridad, muy habituales en esta aplicación web.
El internet de las cosas (IoT) trae muchas ventajas, pero también comporta nuevos riesgos. El…
Ofrece hasta 1 millón de dólares de compensación económica en caso de incidente, con la…
Este cambio refleja los avances que se producen a nivel de infraestructura TI y el…
El evento espera reunir a 17.000 directivos, que podrán escuchar a medio centenar expertos en…
Como resultado de esta operación, ampliará sus servicios en el "bronze layer" del ciclo de…
Durante el segundo trimestre de su año fiscal 2025 acumuló 1.660 millones de dólares, la…