Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Исправление критической уязвимости в JCE, дополнении для CMS Joomla"	+/–
Сообщение от opennews (??), 18-Июн-26, 23:16
В JCE (Joomla Content Editor), одном из старейших и популярнейших расширений в экосистеме Joomla, устранена критическая  уязвимость (CVE-2026-48907), позволяющая импортировать свой профиль без аутентификации. Атакующий может использовать уязвимость для размещения профиля, отключающего проверку MIME-типов и реализующего загрузку PHP-скриптов на сервер. Зафиксировано использование уязвимости злоумышленниками для установки webshell, предоставляющего удалённый доступ к системе... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65715
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Исправление критической уязвимости в JCE, дополнении для CMS..."	+/–
Сообщение от Аноним (1), 18-Июн-26, 23:16
Сначала phpBB, теперь Joomla..
Ответить | Правка | Наверх | Cообщить модератору

	4. "Исправление критической уязвимости в JCE, дополнении для CMS..."	+/–
	Сообщение от Аноним (4), 18-Июн-26, 23:31
	Глаз Саурона уже рассмотрел ядро, браузеры и nginx, теперь рассматривает что осталось. На удивление, не так уж много дыр нашли
	Ответить | Правка | Наверх | Cообщить модератору

2. "Исправление критической уязвимости в JCE, дополнении для CMS..."	–1 +/–
Сообщение от Ivan_83 (ok), 18-Июн-26, 23:17
Скучно. У меня php в RO chroot крутятся, не запишешь туда ничего. А куда записать можно - от туда оно не запустится. А после перезапуска php-fpm chroot будет пересоздан, прада это больше для атомарности обновлений, вебшелам всё равно себя в RO не записать :)
Ответить | Правка | Наверх | Cообщить модератору

	3. "Исправление критической уязвимости в JCE, дополнении для CMS..."	+/–
	Сообщение от Аноним (4), 18-Июн-26, 23:28
	а зачем тебе php без бд, или у тебя бд тоже ro? и даже если и бд ro, то потырить хэши паролей и поломать их не проблема, зачем тогда ограничение какието и опять же бд.
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Исправление критической уязвимости в JCE, дополнении для CMS..."	+/–
	Сообщение от Ivan_83 (ok), 18-Июн-26, 23:54
	А ты собрался вебшелл в БД запихать? А запускать как его будешь? Хэши паролей где 8+ буков+цифер+спецсимволов - даже 20 лет назад их солили, и ценность их нынче для нападающего скорее отрицательная. Но БД тоже в отдельном chroot, но потому что бы её изолировать от основной системы, ибо через неё можно читать/писать файлы в системе. В общем не сказать чтобы на 100% не пробиваемое, но от автоматических атак работает отлично.
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Исправление критической уязвимости в JCE, дополнении для CMS..."	+/–
	Сообщение от Аноним (6), 19-Июн-26, 00:03
	у этого бота пароли до сих пор мд5 похешированы
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Исправление критической уязвимости в JCE, дополнении для CMS..."	+/–
	Сообщение от Ivan_83 (ok), 19-Июн-26, 00:20
	HMAC-MD5 до сих пор считается надёжной конструкцией. Хотя применительно к хранению солёных хэшей она слишком быстро считается :)
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема