Joomla Webhosting - Komponenten - Module - Mambots - Plugins

Nach eingehender Prüfung der Komponente konnten wir diese Sicherheitslücke jedoch nicht betsätigen. Es war uns definitiv nicht möglich, über den Parameter Itemid SQL Code in die Datenbank zu injizieren. Dieser Parameter wird auch gar nicht in Datenbankabfragen benutzt.

Wie uns bei der weiteren Durchsicht der JPodium² Quellen jedoch auffiel, gibt es kritische Sicherheitslücken im Backend der Komponente! Und zwar handelt es sich hierbei um diverse Cross Site Forgery Request (CSFR)³ als auch SQL Injection⁴ Bugs.

So werden nach Übetragung der Formulardaten aus den Tabellenansichten die CIDs in Arrays geladen, jedoch nicht korrekt validiert bevor sie in den Datenbankabfragen verwendet werden. Weiter wird nur im Formular der Defaultansicht (Kontrollzentrum) ein eindeutiger Schlüssel (Token) eingetragen, der jedoch nach der Übertragung nicht abgeprüft wird. Eine Tokenprüfung findet dabei lediglich im Klassen-Controller statt, jedoch fehlt hier das Token im Formular der Tabellenansicht.

Ein entfernter Angreifer hat somit die Möglichkeit, über speziell präparierte Weseiten, die mit dem entsprechenden JavaScript Code infiziert sind, zum Server zu übertragende Daten zu manipulieren oder geährlichen SQL Code in die Datenbank einzuschleusen. Es wird daher dringend empfohlen, während einer bestehenden Backendsitzung derzeit keine anderen Webseiten anzusurfen.

Links:

• [1] JPodium Component for Joomla! 'Itemid' Parameter SQL Injection Vulnerability (en)
• [2] JPodium Projektseite (en)
• [3] Wikipedia: Cross Site Forgery (de)
• [3] Wikipedia: SQL Injection (de)