แพตช์ด่วน! พบช่องโหว่ร้ายแรงใน Joomla! เวอร์ชันต่ำกว่า 3.6.4 ถูกยึดบัญชี admin ได้

Joomla! ออกอัปเดตเวอร์ชัน 3.6.5 แก้ไขช่องโหว่ร้ายแรงที่ส่งผลให้ผู้ประสงค์ร้ายสามารถแก้ไขข้อมูลบัญชีผู้ใช้ในระบบ เปลี่ยนรหัสผ่าน และเปลี่ยนระดับสิทธิของบัญชีให้กลายเป็นผู้ดูแลระบบได้ ช่องโหว่นี้มีรหัส CVE-2016-9838 มีผลกระทบกับ Joomla! ตั้งแต่เวอร์ชัน 1.6.0 จนถึง 3.6.4

อีกช่องโหว่เป็นข้อผิดพลาดในการตรวจสอบประเภทของไฟล์ที่อัปโหลด ส่งผลให้ผู้ประสงค์ร้ายสามารถอัปโหลดไฟล์ PHP นามสกุล .php6, .php7, .phtml และ .phpt เข้ามาในระบบเพื่อใช้เป็น web shell ได้ ช่องโหว่นี้มีรหัส CVE-2016-9836 ตัวอย่างโค้ดที่ใช้โจมตีผ่านช่องโหว่นี้ถูกเผยแพร่สู่สาธาณะแล้ว

ผู้ดูแลเว็บไซต์ที่ใช้งาน Joomla! ควรอัปเดตระบบให้เป็นเวอร์ชันล่าสุดหากทำได้ เพื่อลดความเสียหายที่อาจจะเกิดขึ้น

ที่มา: Bleeping Computer l Joomla! l ThaiCERT