• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

SQL Injection en iJoomla Ad Agency

08/01/2018

=============================================
CVSS7.1
Fecha de lanzamiento: 07/01/2018
Gravedad: Alta
=============================================

VULNERABILIDAD

Descubierta vulnerabilidades SQLInjection en iJoomla Ad Agency

INFORMACIÓN

iJoomla Ad Agency es una extensión para el conocido CMS Joomla que se usa para generar ingresos con el tráfico de nuestro sitio. Los ingresos se obtienen mediante la publicidad en nuestro sitio. Este componente permite añadir y modificar publicidad fácilmente.

DESCRIPCIÓN

La vulnerabilidad de SQL Injection se encuentra en los parámetros 'advertiser_status' y 'status_select' del módulo 'com_adagency'.

Para explotar esta vulnerabilidad se debe modificar la petición de la URL e incluir el parámetro de SQL Injection en el parámetro 'advertiser_status'.
Un atacante puede construir un método 'GET' malicioso que ejecute los comandos para el SQL Injection a través de los parámetros vulnerables citados antes. Estos parámetros se encuentran en el fichero 'index.php'.
Para explotar esta vulnerabilidad es necesario un usuario con privilegios y puede explotarse de manera remota.

SISTEMAS AFECTADOS

La versión vulnerable: 6.0.9

SOLUCIÓN

La vulnerabilidad está corregida en la última actualización de 'com_adagency'

FUENTE

https://hispasec.com/es/