Nei giorni scorsi è stata segnalata una pericolosa vulnerabilità nel noto CMS Joomla! che potrebbe mettere a repentaglio la sicurezza del backend. Tale falla è stata identificata dalla sigla CVE-2020-35616.
Come molti altri CMS, anche Joomla! utilizza un ACL (Access Control List) per il controllo degli accessi e dei privilegi all’interno dell’interfaccia di amministrazione. Sfruttando la vulnerabilità in oggetto sarebbe possibile violare l’ACL modificandolo e riassegnando i ruoli all’interno del backend. Per dare una misura del problema, tale falla di sicurezza è stata riscontrata nelle versioni che vanno dalla 1.7.0 alla 3.9.22 quindi, se non lo si è già fatto, sarà necessario effettuare un controllo.
Tra i vari ruoli attribuibili dal Super User all’interno del backend di Joomla! ci sono i Manager e gli Admin. Solitamente, i Super User sono gli unici depositari della scelta dei privilegi per tutti gli altri utenti, mentre sfruttando questa falla anche i Manager potrebbero attribuire in modo semplice tutti i privilegi negati agli Administrator come la modifica di tutto ciò che concerne il backend bypassando totalmente i sistemi ACL preimpostati.
Per fare un esempio pratico, poniamo che il Super User attribuisca al Manager la possibilità di modifica dei contenuti negandola invece all’utente Administrator. Gli utenti più esperti, copiando ed incollando una riga di codice e modificando un attributo, potrebbero sfruttare la vulnerabilità CVE-2020-35616 riformulando tutti i permessi anche senza essere Super User.
Dopo la segnalazione della presenza di questa falla, gli sviluppatori di Joomla! hanno subito provveduto a rilasciare una patch di sicurezza che è già disponibile per il download. Il consiglio è di installarla quanto prima per evitare ogni tipo di rischio.