Joomla.it Forum

Non solo Joomla... => Sicurezza => : mau_develop 09 Feb 2010, 09:48:06

: Attenzione a Tinymce
: mau_develop 09 Feb 2010, 09:48:06

http://securityreason.com/wlb_show/WLB-2010020037?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+worldlaboratoryofbugtraq+%28World+Laboratory+of+Bugtraq+Database+-+Informations+about+errors+in+various+applications%29

a quanto pare è possibile una sql injection sfruttando del codice js offuscato dentro articoli scritti con tiny

E' esposto al rischio chi ha un lato pubblico dove gli utenti possono scrivere articoli tramite l'editor tiny.

Controllate se rilasciano patch, o per joomla o per tiny.

M.

: Re:Attenzione a Tinymce
: 56francesco 09 Feb 2010, 13:39:58

E' esposto al rischio chi ha un lato pubblico dove gli utenti possono scrivere articoli tramite l'editor tiny.

registrati intendi?
per inviare nuovi articoli occorre essere registrati, quindi solo pochi siti hanno quel problema..

: Re:Attenzione a Tinymce
: mau_develop 09 Feb 2010, 13:47:09

registrati intendi
--------------------
...ti direi di sì... quella disclosure è un po' criptica :) e in alcuni punti la sintassi è (credo volutamente) errata per cui devo avere un po' di tranquillità per riprodurla... e lo farò

solo fino a luglio/agosto era possivile sfruttare tiny per creare directory, files e ogni ben di dio  anche se non avevi privilegi,.... non vorrei fosse rimasto indietro qualcosa...

M.

: Re:Attenzione a Tinymce
: 56francesco 09 Feb 2010, 14:04:32

..
imho qualcuno si è accorto che queste segnalazioni portano accessi a anche clis sugli adsense..

purtroppo nuove forme di spamm  stanno traendo forza dagli adsense che ne derivano, dal seo per salire sui motori di ricerca e ora dalla sindrome collettiva della "sicurezza"

ho già scritto da qualche parte sotto le festività cercando nei motori di ricerca "gif natalizie" ho trovato in prima pagina  del motore di ricerca la paginetta con qualche gif brutta e insulsa scopiazzata ma con una ottima indicizzazione ad opera di un guru del seo nostrano...
Non si fanno queste cose, caro Guru italiano del seo, non si spamma così, se proprio devi almeno lasciare stare il Natale... no?

Quindi se non si rispetta neanche il Natale figuriamoci un argomento che tira tanto come la sicurezza..

 :'(

: Re:Attenzione a Tinymce
: mau_develop 09 Feb 2010, 14:30:40

...tutto può essere...ma visti i problemi di tiny non credo che sottovalutare la cosa sia una buona idea.

M.