RSS
 

Joomla 1.6 öppet för spamutskick

12 Jan

Joomla 1.6 släpptes som stabil version 10 januari och samma dag upptäcktes ett säkerhetshål som gör att scriptet kan användas för att skicka ut spam.

Den enda kontrollen som görs är att meddelandet måste börja med en adress som hör till Joomla-installationen, i detta fall http://localhost/index.php. Spammaren kan själv välja vad som ska stå efter den adressen och vad som ska stå som avsändaradress och avsändarnamn.

För att skicka spam går man in på en speciell adress, till exempel http://localhost/index.php?option=com_mailto&tmpl=component&template=beez_20&link=BASE64 där BASE64 är det meddelande man vill skicka base64-kodat, i exemplet ovan:

http://localhost/index.php
SPAM SPAM SPAM
http://spamdomain.com/
SPAM SPAM SPAM

som base64-kodas till:

aHR0cDovL2xvY2FsaG9zdC9pbmRleC5waHANClNQQU0gU1BBTSBTUEFNDQpodHRwOi8vc3BhbWRv
bWFpbi5jb20vDQpTUEFNIFNQQU0gU1BBTQ==

Man kommer då till ett formulär där man anger mottagaradress, avsändaradress, avsändarnamn och ämne. Säkerhetshålet finns även i 1.5.22.

 
 

Tags: ,

Lämna en kommentar