13 agosto, 2008 0 min to read

Fallo en Joomla 1.5.x Remote Admin Password Change!

Category : Joomla

Acabo de ver un fallo descomunal en Joomla 1.5.x, lastimosamente muchos sitios están afectados por el fallo, la cosa es que ya empecé a buscarle una solución.
Se trata de un fallo en la función confirmReset de los archivos que controlan el reseteo de las cuentas de usuario, permitiendo setear directamente el pasword de la cuenta admin, lo más fácil que se puede hacer, es llamar a el usuario SuperAdministrador de otro modo, es decir cambiale el nombre “admin”, ya que mientras no tengas el parche para el fallo, serás vulnerable y lo mejor sería que a pesar de que el atacante pueda resetear el pasword, no pueda entrar porque desconoce el nombre del usuario administrador.
Actualización: ya está el parche para subsanar este problema, prueba de que la comunidad de software libre es bastante eficaz y que 100 ojos ven más que uno (link a descarga de la actualización de seguridad 1.5.6).