Sicurezza SqUeReOshow

[umbe81]

Ciao a tutti una domanda: sto usando (per ora in locale) il componente SqUeReOShow, tra l'altro ho visto anche è uscita la nuova versione 1.2.0.
Però a questo indirizzo (consigliato qua sul forum) http://docs.joomla.org/Vulnerable_Extensions_List ho visto che è affetto da SQL injection  e sembra che per ora non ci sia rimedio [http://extensions.joomla.org/extensions/photos-a-images/photo-gallery-add-ons/9810]
Dite che sarebbe il caso abbandonare questo componente almeno finchè non si aggiusta la cosa? Ora che mi ero fatto la mia bella Galleria! 

Grazie a tutti ciao ciao!

[56francesco]

SqUeReOshow RSS Feed Plugin
This extension has been unpublished for the following reason: Vulnerable Extensions List - http://docs.joomla.org/Vulnerable_Extensions_List

non trovo la galleria nella lista del primo link, mentre il secondo link punta ad un plugin (forse terzo) e non al componente...

mi sbaglio?

[umbe81]

Da qua http://docs.joomla.org/Vulnerable_Extensions_List   in December 2009 Compiled Reports mi pare che sia il penultimo record della tabella.

com_SqUeReOshow | SqUeReOshow SQL injection vulnerability Unknown version number / Exploit Code. Last version 07-09-2008 release 1.2.0 | Reference | Not Known

Però effettivamente qualche dubbio ce l'ho...il link a cui punta "Reference" porta a un sito che sembra mostrare una lista di vulnerabilità dove non vedo però nulla sul com_SqUeReOshow 
Mentre il il secondo link è quello che mi esce se clicco su "SqUeReOshow"

Volevo appunto capire se con l'ultima versione 1.2.0 potevo andare tranquillo. Probabilmente è fallato solo quest'addon, mentre il componente originale che ho preso qua http://SqUeReOshow.joomlaitalia.com/newrelease.html è a posto.

Grazie cmq per avermi fatto notare che era un plugin aggiuntivo e non l'intero componente
 

[56francesco]

trovata...

e c'è anche la ozio gallery

ozio gallery    summary: Ozio Gallery2 SQLi eploit

 

anzi..  c'era infatti il problema è risolto:

Ozio Gallery 2.x (component for Joomla!)
Where    

From remote
Solution    

Update to version 2.3.
http://www.joomla.it/download/oziogallery.html
Reported by    

Ubik and er
Original Advisory    

http://oziogallery.joomla.it/index.php?option=com_content&view=article&id=62%3Anuova-ozio-gallery-23-aggiornamento-di-sicurezza&catid=2%3Anotizie&Itemid=13〈=en

http://www.exploit-db.com/exploits/10979

   

[umbe81]

Son felice per la Ozio...per la SqUeReO un pò meno giusto?

Grazie cmq!

[vamba]

Controlla nuovamente e dimmi se trovi ancora quelle informazioni.
E' stato appurato che era un falso positivo

com_SqUeReOshow    SqUeReOshow this was a false report    Reference    false report

Resta comunque il fatto che l'ultima versione pubblica disponibile è la 1.2.0 ... non credo ne usciranno altre ..