La sicurezza di un sito realizzato usando Joomla dipende al 90% (per dire) dalle estensioni installate.
Una singola estensione che presenti una vulnerabilità è un pericolosissimo punto di accesso all’intero sito web. Ecco perchè è bene aggiornarle sempre all’ultima versione, e dare un occhio alle ultime vulnerabilità riportate.
Il team di Joomla mantiene costantemente aggiornata una pagina chiamata Vulnerable Extensions List, un elenco di estensioni che possono essere pericolose da installare in quanto vi sono bug conosciuti.
Essendo in effetti poco pratica da consultare ed essendo impossibile individuare rapidamente le ultime estensioni inserite, è stato creato un feed RSS di questo utile servizio.
http://feeds.joomla.org/JoomlaSecurityVulnerableExtensions
Ecco uno spezzone dell’ultimo advisory:
| Extension | Details | ||
|---|---|---|---|
| DailyMeals | Summary: dailymeals Local File Inclusion Vulnerability Jan 02 | ||
| CARTwebERP | Summary: CARTwebERP Local File Inclusion Vulnerability Jan. 3 | ||
| JoomlaBibleStudy | Summary: JoomlaBibleStudy LFI Vulnerability Jan. 3 | ||
| com_bfsurvey_basic and pro | Summary: BFsurvey SQL Injection Vulnerability ,LFI Vulnerability Jan. 3 | ||
| Alfresco | Summary: SQL Injection Vulnerability. Not believed to be Joomlatools extension Jan. 3 | ||
| abbrev | Summary: abbrev Local File Inclusion Vulnerability Jan. 3 | ||
| countries | Summary: countries SQL Injection Vulnerability Jan. 3 | ||
| Dedicated Component com_tpjobs | Summary: tpjobs SQL Injection Vulnerability unable to locate files probably template plaza Jan. 3 | ||
| Component com_doqment | SQL Injection Vulnerability Jan. 3 | ||
| Component com_otzivi | Blind SQL Injection Vulnerability Jan. 3 | ||
| aprice | Summary: com_aprice Component ‘analog’ Parameter SQL Injection Vulnerability | ||
| jprojects | Summary: Unknown Author com_j-projects Blind SQL Injection Vulnerability. Jan 10 detail update | ||
| cartikads | Summary: com_cartikads Remote File Upload VulnerabilityMambo Open Source ads management component | ||
| perchagallery | Summary: perchagallery com_perchagallery SQL Injection Vulnerability Jan 7 | ||
| Docman seller | Summary: Document seller Input passed via the “id” parameter to index.php (when “option” is set to “com_dm_orders”, “task” is set to “order_form”, and “payment_method” is set to “Paypal”) is not properly sanitised before being used in SQL queries. This can be exploited to manipulate SQL queries by injecting arbitrary SQL code. | ||
| ozio gallery | summary: Ozio Gallery2 SQLi eploit | ||
| jEmbed-Embed Anything | jEmbed-Embed Anything A vulnerability has been discovered in the jEmbed-Embed Anything component for Joomla, which can be exploited by malicious people to conduct SQL injection attacks. Jan 10 | ||
| RD-Autos Free | RD-Autos Free | ||