Albo Pretorio - Chronoforms 5 vulnerabile a SQL injection (SQLi)

[exmiliteignudo]

Salve, uso l'Albo Pretorio da anni ed è aggiornato all'ultima versione. Oggi ricevo una mail da aruba che dice quanto segue:


E' previsto una migrazione per chronoforms 6?
Non vorrei che blocchino l'albo dell'istituto con relativo disservizi.
Qualcuno potrebbe darmi delucidazioni in merito? Grazie

Gentile cliente,da una serie di controlli automatici è emerso che un numero elevato di richieste su una pagina del tuo sito xxxxxxxxxx.edu.it, sta provocando un grave impatto sul DB Server in cui sono ospitati sia il tuo Database Sqlxxxxxxx_1, sia i Database di altri clienti.
In particolare, all’interno del tuo sito è presente la componente chronoforms5 vulnerabile a SQL injection (SQLi), ovvero azioni da parte di terzi volte a prendere i dati presenti all'interno del tuo database Sqlxxxxxxx_1.
Ti invitiamo ad intervenire tempestivamente rimuovendo la suddetta componente.
[/size]Ti consigliamo inoltre di:[/size]Aggiornare il tuo cms all’ultima versione disponibile.[/q]
[/font]

• Aggiornare tutti i plugin, moduli e temi all'ultima versione disponibile.

• Rimuovere tutti i plugin e moduli non più supportati e non testati per l’ultima versione del cms in uso

• Rimuovere tutti i plugin non utilizzati.

• [/size]Una volta eseguite le operazioni necessarie, ti chiediamo di dare conferma delle modifiche apportate tramite email all’indirizzo: webserver@staff.aruba.it
  [/size]Ti informiamo inoltre che, nel caso in cui si continuino a riscontrare le stesse problematiche o, in assenza di un tuo intervento, aruba si riterrà libera di adottare i provvedimenti di propria competenza e contrattualmente previsti, tra i quali la sospensione del Servizio.
  [/size]Cordiali saluti
  [/l]

[luisapez]

Buongiorno, segnalo che anche alla mia scuola oggi è arrivata questa comunicazione da aruba.

[giusebos]

le vostre versioni di chronoforms sono aggiornate alla ultima relase del ramo 5?

[exmiliteignudo]

Sì, l'ultima disponibile: 5.0.17

[luisapez]

Anche io, 5.0.17 maggio 2018

[exmiliteignudo]

Quindi nessuna risposta in merito?

[vales]

Sto cercando di capire se è possibile inserire in Albo delle modifiche che possano risolvere il problema segnalato.

In attesa di quanto sopra consiglio di installare sui siti joomla che utilizzano Albo il plugin Marco's SQL Injection - LFI protection

che trovate qui http://www.mmleoni.net/sql-iniection-lfi-protection-plugin-for-joomla

progettato dal nostro moderatore mmleoni e che da tempo assolve egregiamente il compito di proteggere tutte le estensioni di joomla da una buona parte di tentativi di intrusione.

[exmiliteignudo]

Ok, grazie. Procedo ad installare il plugin

[luisapez]

Grazie.
Installo solo il plugin o devo procedere a dei settaggi particolari?

[vales]

E' sufficiente installare il plugin, già funziona con i settaggi di default. Poi puoi personalizzare alcuni parametri.