lunes, 16 de enero de 2012

Múltiples fallos de seguridad en Mambo CMS

Larry W. Cashdollar ha publicado tres problemas de seguridad hallados en el CMS Mambo.

Mambo es un popular sistema de portales CMS (Content Management System o Sistema de Gestión de Contenidos) basado en el lenguaje de programación PHP y base de datos de código abierto, para el que existen gran cantidad de módulos y componentes adicionales.

El primero de los fallos hace referencia al método empleado por Mambo para almacenar las diferentes contraseñas empleadas por el CMS.

En primer lugar, el programa almacena las contraseñas de la base de datos MySql en texto claro en la ruta raíz de la web. Esto, en principio, puede ser leído por cualquier usuario local.

Por otro lado, Mambo también almacena el hash de la contraseña de administrador en el fichero "configuration.php" y recomienda los permisos 644 para este archivo. Para más seguridad, deberían ser permisos 600 y ponerle como dueño al usuario sobre el que corre el servidor.

La segunda de las vulnerabilidades reportadas podría causar una denegación de servicio. Al parecer, no es necesario autenticarse para poder iniciar el proceso de subida de ficheros. Aunque el fichero no será almacenado, se consumirán recursos y ancho de banda del sistema.

Finalmente la última de las vulnerabilidades reportadas hace referencia a una revelación de ruta a través del error que aparece al acceder a ciertos ficheros incluidos en la distribución

La versión afectada por estas vulnerabilidades sería la 4.6.5 aunque existe la posibilidad de otras versiones afectadas.

Más información:

Mambo CMS 4.6.5 Denial Of Service / Disclosure


Borja Luaces

1 comentario:

  1. Como no eramos bastantes en casa parío la abuela.No son suficientes los ataques exteriores,para que se lo den en bandeja, estoy convencido de que o muchos no tienen claro el tema,seguridad y privacidad,o si me apuran hay mucho dinero de por medio.Porque ese tema les tiene que dar un buen pellizco al presupuesto de las empresas dinero que se detrae de otras necesidades,resultado?Todos perdemos.!! TODOS!!!

    ResponderEliminar