Joomla.it Forum

Non solo Joomla... => Pubblica Amministrazione => Albo Pretorio On Line => : exmiliteignudo 16 Apr 2020, 13:08:25

: Albo Pretorio - Chronoforms 5 vulnerabile a SQL injection (SQLi)
: exmiliteignudo 16 Apr 2020, 13:08:25

Salve, uso l'Albo Pretorio da anni ed è aggiornato all'ultima versione. Oggi ricevo una mail da aruba che dice quanto segue:


E' previsto una migrazione per chronoforms 6?
Non vorrei che blocchino l'albo dell'istituto con relativo disservizi.
Qualcuno potrebbe darmi delucidazioni in merito? Grazie

Gentile cliente,da una serie di controlli automatici è emerso che un numero elevato di richieste su una pagina del tuo sito xxxxxxxxxx.edu.it, sta provocando un grave impatto sul DB Server in cui sono ospitati sia il tuo Database Sqlxxxxxxx_1, sia i Database di altri clienti.
In particolare, all’interno del tuo sito è presente la componente chronoforms5 vulnerabile a SQL injection (SQLi), ovvero azioni da parte di terzi volte a prendere i dati presenti all'interno del tuo database Sqlxxxxxxx_1.
Ti invitiamo ad intervenire tempestivamente rimuovendo la suddetta componente.
[/size]Ti consigliamo inoltre di:[/size]Aggiornare il tuo cms all’ultima versione disponibile.[/q]
[/font]

• Aggiornare tutti i plugin, moduli e temi all'ultima versione disponibile.

• Rimuovere tutti i plugin e moduli non più supportati e non testati per l’ultima versione del cms in uso

• Rimuovere tutti i plugin non utilizzati.

• [/size]Una volta eseguite le operazioni necessarie, ti chiediamo di dare conferma delle modifiche apportate tramite email all’indirizzo: webserver@staff.aruba.it
  [/size]Ti informiamo inoltre che, nel caso in cui si continuino a riscontrare le stesse problematiche o, in assenza di un tuo intervento, aruba si riterrà libera di adottare i provvedimenti di propria competenza e contrattualmente previsti, tra i quali la sospensione del Servizio.
  [/size]Cordiali saluti
  [/l]

: Re:Albo Pretorio - Chronoforms 5 vulnerabile a SQL injection (SQLi)
: luisapez 16 Apr 2020, 18:50:55

Buongiorno, segnalo che anche alla mia scuola oggi è arrivata questa comunicazione da aruba.

: Re:Albo Pretorio - Chronoforms 5 vulnerabile a SQL injection (SQLi)
: giusebos 16 Apr 2020, 23:47:49

le vostre versioni di chronoforms sono aggiornate alla ultima relase del ramo 5?

: Re:Albo Pretorio - Chronoforms 5 vulnerabile a SQL injection (SQLi)
: exmiliteignudo 17 Apr 2020, 10:21:51

Sì, l'ultima disponibile: 5.0.17

: Re:Albo Pretorio - Chronoforms 5 vulnerabile a SQL injection (SQLi)
: luisapez 17 Apr 2020, 14:56:14

Anche io, 5.0.17 maggio 2018

: Re:Albo Pretorio - Chronoforms 5 vulnerabile a SQL injection (SQLi)
: exmiliteignudo 20 Apr 2020, 17:30:56

Quindi nessuna risposta in merito?

: Re:Albo Pretorio - Chronoforms 5 vulnerabile a SQL injection (SQLi)
: vales 20 Apr 2020, 17:52:33

Sto cercando di capire se è possibile inserire in Albo delle modifiche che possano risolvere il problema segnalato.

In attesa di quanto sopra consiglio di installare sui siti joomla che utilizzano Albo il plugin Marco's SQL Injection - LFI protection

che trovate qui http://www.mmleoni.net/sql-iniection-lfi-protection-plugin-for-joomla

progettato dal nostro moderatore mmleoni e che da tempo assolve egregiamente il compito di proteggere tutte le estensioni di joomla da una buona parte di tentativi di intrusione.

: Re:Albo Pretorio - Chronoforms 5 vulnerabile a SQL injection (SQLi)
: exmiliteignudo 20 Apr 2020, 18:36:53

Ok, grazie. Procedo ad installare il plugin

: Re:Albo Pretorio - Chronoforms 5 vulnerabile a SQL injection (SQLi)
: luisapez 27 Apr 2020, 09:37:42

Grazie.
Installo solo il plugin o devo procedere a dei settaggi particolari?

: Re:Albo Pretorio - Chronoforms 5 vulnerabile a SQL injection (SQLi)
: vales 29 May 2020, 03:04:07

E' sufficiente installare il plugin, già funziona con i settaggi di default. Poi puoi personalizzare alcuni parametri.