Joomla.it Forum

Joomla! 2.5 (versione con supporto terminato) => Joomla! 1.6/1.7/2.5 => : thewebsurfer 18 Dec 2011, 21:49:11

: vulnerabilità nota ma ancora presente?
: thewebsurfer 18 Dec 2011, 21:49:11: salve, facendo delle ricerche ho capito che il problema che presentano due miei siti è un problema noto
http://jeffchannell.com/Joomla/joomla-160-multiple-minor-vulnerabilities.html (http://jeffchannell.com/Joomla/joomla-160-multiple-minor-vulnerabilities.html)

il problema è il terzo nell'elenco del link:
:
index.php?option=com_content&view=articles&layout=modal&tmpl=componentscrivendo questo dopo il mio dominio si visualizza l'elenco di tutti gli articoli del sito

il sito in questione è (http://img850.imageshack.us/img850/725/45780854.gif)
per verificare l'odioso problema basta cercare su google (http://img828.imageshack.us/img828/3748/47646931.gif)
è addirittura il primo risultato.

(scusate le immagini ma come avrete capito sono già abbastanza inguaiato con l'indicizzazione, non vorrei peggiorare le cose :-\)
per risolvere, su jeffchannell si consiglia di aggiornare da 1.6 a 1.6.1, io sono su 1.7.0 e su 1.7.3 su un altro con lo stesso problema.
: Re:vulnerabilità nota ma ancora presente?
: alexred 18 Dec 2011, 21:52:58: ciao thewebsurfer,
perdonami ma non capisco.
Inserendo manualmente quella url si visualizzano anche gli articoli riservati ai soli utenti registrati o riservati a determinati livelli di accesso?
: Re:vulnerabilità nota ma ancora presente?
: thewebsurfer 18 Dec 2011, 22:25:10: : alexred 18 Dec 2011, 21:52:58
ciao thewebsurfer,
perdonami ma non capisco.
Inserendo manualmente quella url si visualizzano anche gli articoli riservati ai soli utenti registrati o riservati a determinati livelli di accesso?

cerchiamo di capirci, in modo da risolvere il problema una volta per tutte :)
- inserendo manualmente quella stringa visualizzo l'elenco degli articoli public (ho appena provato e quelli con altri permessi non li visualizzo)
- il problema principale per me è che non solo inserendo manualmente la stringa visualizzo l'elenco, hai provato a cercare (http://img828.imageshack.us/img828/3748/47646931.gif)su google? è il primo risultato che ti chiarirà il problema, l'elenco è stato indicizzato da google! :o
- l'elenco di cui parlo non dovrebbe essere visibile, per capirci, è quello che esce in popup quando da backend nell'editor clicco sull'icona Articolo in basso (quella per inserire un link ad un altro articolo, affianco a immagine, pagebreak e leggi tutto)
: Re:vulnerabilità nota ma ancora presente?
: alexred 19 Dec 2011, 08:26:23: da come l'hai descritta non sembra proprio una vulnerabilità.
Però io provando su un sito 1.7.3 visualizzo anche gli articoli sospesi, e questa potrebbe essere una vulnerabilità.
: Re:vulnerabilità nota ma ancora presente?
: alexred 19 Dec 2011, 09:51:53: ho informato il security group di Joomla, vediamo se riescono a correggere per la prossima versione.
: Re:vulnerabilità nota ma ancora presente?
: thewebsurfer 19 Dec 2011, 22:02:12: : alexred 19 Dec 2011, 09:51:53
ho informato il security group di Joomla, vediamo se riescono a correggere per la prossima versione.

anch'io li ho contattati, speriamo di risolvere presto, cmq, anche se non rivela dati importanti (infatti nel sito viene chiamata vulnerabilità minore) è ovvio che sono pagine che non dovrebbero essere visualizzate, quindi è una vulnerabilità :)