Schwachstelle in CMS Joomla

Über manipulierte HTTP-Requests kann ein Angreifer die Beiträge anderer Nutzer ändern. Ein Update gibt es nicht.

In Pocket speichern vorlesen Druckansicht 54 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Nur zwei Wochen nach Veröffentlichung der finalen Version 1.5 des CMS Joomla! melden die Entwickler eine Schwachstelle, die es Angreifern ermöglicht, die Beiträge von Nutzern zu manipulieren und zu löschen. Dazu genügt es, manipulierte HTTP-Request an den Server zu senden. Der Fehler tritt nur auf, wenn das Plug-in für die XML-RPC-Blogger-API aktiviert ist.

Einen ähnlichen Fehler meldete kürzlich schon WordPress im Zusammenhang mit XML-RPC. Dort war für einen erfolgreichen Angriff ein gültiges Nutzerkonto erforderlich. Ob dies bei Joomla ebenfalls nötig ist, ist unbekannt. Erfahrungsgemäß sind bei Sicherheitsproblemen mit XML-RPC noch weitere Blogs, Wikis und Content-Management-Systeme betroffen. Es ist mit weiteren Fehlerberichten von Herstellern zu rechnen.

Ein offizielles Update 1.5.1 gibt es noch nicht, es ist nach Angabe der Entwickler aber bereits in Arbeit und soll neben der Schwachstelle noch andere Fehler beheben. Bis dahin empfiehlt das Joomla-Team, das verwundbare Plug-in zu deaktivieren. Alternativ sollen die Fehler auch bereits im Subversion-Repository behoben sein.

Siehe dazu auch:

(dab)