Un diffuso plugin di Joomla!, relativo alle mappe di Google, rappresenta un nuovo potenziale rischio per la sicurezza dei web server.
Secondo quanto riportato recentemente da Seclist, un bollettino online relativo alla sicurezza informatica, esisterebbe un pericolo di Denial of Service, XML Injection, Cross-Site Scripting e vulnerabilità full path disclosure sul plugin Google Maps di Joomla!, uno dei più diffusi plugin per integrare le famose mappe all’interno del proprio sito. I dettagli sono stati pubblicati all’interno del messaggio e, in termini discorsivi, consentono quanto segue:
- il plugin permetterebbe l’introduzione di un file XML arbitrario da parte di un attaccante non loggato; il problema, in questo caso, è che le entry del file (innocuo di per sè) possono tranquillamente contenere codice Javascript;
- il full path disclosure permette inoltre ad un attaccante di visualizzare il path della directory di root del sito vittima, informazione normalmente riservata ed utile per ulteriori attacchi;
- sarebbe possibile addirittura bloccare un intero server semplicemente caricando un file di grosse dimensioni su un path specifico del sito oppure mediante script appositi.
Per precauzione è opportuno che tutti i webmaster disabilitino questo plugin oppure lo aggiornino alla versione più recente quanto prima (uscita il giorno dopo la segnalazione del problema in questione), ricorrendo in caso di dubbio a soluzioni alternative.