Lücke in CMS Joomla ermöglicht Hinzufügen von Admin-Konten

Präparierte Webseiten können einen Super Admin zu Joomla hinzufügen. Allerdings muss dazu ein Super Admin am CMS angemeldet sein und zusätzlich eine bösartige Webseite aufrufen.

In Pocket speichern vorlesen Druckansicht 145 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Betreiber eines auf Joomla beruhenden Content-Managements-Systems sollten bei der Wartung des Systems in der nächsten Zeit ein wenig vorsichtiger sein. Für eine seit Dezember bekannte Cross-Site-Request-Forgery-Schwachstelle (CSRF) ist eine Demo aufgetaucht, die vorführt, wie man über eine präparierte Webseite einen Super Admin zu Joomla hinzufügt. Ein Angreifer könnte speziellen JavaScript-Code in seiner Seite platzieren und warten, dass der Betreiber eines verwundbaren CMS seine Seite besucht. Der Trick funktioniert aber nur, wenn ein Anwender als Super Admin am CMS angemeldet ist und mit einem weiteren Browserfenster die manipulierte Seite ansurft, die den speziellen Code enthält.

Die Sicherheitslücke ist seit dem 27. Dezember öffentlich bekannt und wurde in Version 1.5 RC4 bereits Mitte Dezember – neben zwei anderen CSRF-Schwachstellen – geschlossen. In Version 1.0.13 ist die Lücke indes noch nicht geschlossen. Die Entwickler sollen allerdings an einem Update arbeiten.

Bis dahin sollten Anwender bei der Arbeit im CMS keine weiteren Browserfenster öffnen. Allerdings reicht es Berichten zufolge nicht aus, dass Fenster nach der Arbeit im CMS zu schließen, bevor man andere Seiten besucht. Vielmehr muss der Anwender die Session aktiv beenden, in dem er sich aus dem Backend ausloggt.

Ein anderen Beispiel für CSRF-Angriffe fand sich zuletzt im Linksys-Router WRT54GL.

Siehe dazu auch:

(dab)