المحتوى الرئيسى
  1. الرئيسية
  2. تكنولوجيا
  3. "بالاديون" تساعد مطوري "جوملا" على إيقاف المخاطر المتعلقة بالأمن السيبراني
مشبك

"بالاديون" تساعد مطوري "جوملا" على إيقاف المخاطر المتعلقة بالأمن السيبراني

04/13 14:31

لدى “جوملا” أكثر من 2 مليون مستخدم مباشر ومساهمين

اكتشفت شركة بالاديون (Paladion)، المزود العالمي لحلول الدفاع السيبراني، مؤخرًا نقاط ضعف في إضافات نظام إدارة المحتوى لـ”جوملا”  (Joomla)مما قد يعرض المستخدمين للقرصنة.

ولكونه برمجية مفتوحة المصدر، فإن لدى “جوملا” أكثر من 2 مليون مستخدم مباشر ومساهمين، وقد دفعت شعبيتها أيضًا شركات أخرى ومبرمجين لإنتاج أكثر من 8000 ملحق لتقديم ميزات إضافية مفيدة. ومع ذلك، وفي بعض الحالات يمكن أن تشكل بعض هذه الإضافات خطرا على المستخدمين لإمكانية تعرضهم من خلالها لمخاطر أمنية ولهجمات خطرة.

وكجزء من المراقبة و الرصد المستمرة والمكثفة للأمن السيبراني، بحسب بيان صحفي، وجدت “بالاديون” حالات عدم تحقق من صحة البيانات عند تصديرها من إضافات “جوملا” إلى تنسيق ملف(CSV)، وكما وضح خبير الأمن  بشركة “بالاديون” الذي اكتشف العيوب “سوريش نارفانيني” قائلا: “إن هذه الثغرة جعلت من الممكن للمهاجم أن ينشر البرامج الضارة عبر جداول البيانات مثل “مايكروسوفت إكسل” و “ليبر أوفيس كالك”، والوصول عن بُعد الغير مصرح به إلى الجهاز أصبح ممكنًا أيضًا”.

وحدد “سوريش” المشكلة في ملحقات “جوملا” من (Acyba) وقام بإبلاغ “جوملا” على الفور. وبجانب ذلك، تم العثور على عملية “تحقق من الصحة” مفقودة على حقل العنوان (URL) عند إنشاء سجل شركة جديد وأيضا ثغرة أمنية للبرمجة النصية عبر (XSS) في ملحق (JS Jobs) من “جوملا سكاي”.

وقامت “جوملا” بالاتصال بالمطورين للحصول على الإضافات المعنية، مع إصلاح المشكلات في غضون يوم واحد، ونشرت « جوملا » أيضًا ملاحظة حول الثغرة تتعلق بكيفية تفسير الأحرف الخاصة في البيانات المصدّرة على أنها صيغ حقن CSV أو كأوامر لفتح برامج مثل ويندوز باور شل، وأضاف “سوريش”:  “هناك خطر إضافي يتمثل في استخراج البيانات من جداول البيانات، كما أن هناك خطر اَخر يتمثل في ميل المستخدمين إلى تجاهل التحذيرات الأمنية في جداول البيانات التي يعتقدون أنها آمنة لأنهم يقومون بتنزيلها من مواقع الويب الخاصة بهم”.

وبواسطة استخدام المعلومات من “بالاديون”، أصدر مطور الامتداد من (Acyba) بسرعة التصحيح لحماية الصادرات من البيانات الموجهة لإكسل. وأيضا أصدر مطور الامتداد من “جوملا سكاي” تصحيحًا لوظائف (JS) وبالنسبة إلى ملحقات “جوملا” التالية، توصي “بالاديون” المستخدمين باتخاذ الإجراءات الاَتية:

بالنسبة لـ(AcySMS)، قم بتحديث هذه الإضافة إلى الإصدار 3.5.1 أو الأحدث؛ و بالنسبة لـ(AcyMailing)، قم بتحديث هذا الملحق إلى الإصدار 5.9.6 أو الأحدث؛ و لـ(JS Jobs)، قم بتحديث هذا الملحق إلى الإصدار 1.2.1.

ولقد صرحت “بالاديون” أيضا بأن مراكز العمليات الأمنية يمكنه تحديد نقاط الضعف هذه في التمديدات الأخرى عن طريق التحقق من إدخال المستخدم الضار مثل حقن الماكرو أو حقن الرابط، كما لـAcySMS، أو حقن جافا سكريبت، كما لـJS Jobs.

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

“بالاديون” تساعد مطوري “جوملا” على إيقاف المخاطر المتعلقة بالأمن السيبراني

أصعب 7 لحظات مرت على زوكربيرج خلال استجوابه في الكونجرس

صدق أو لا تصدق| الصين تستخدم الأفران للحصول على 10 مليار طن من مياه الأمطار

تطل علينا جوجل من وقتٍ لآخر بقائمة لأعلى التطبيقات والألعاب شعبية بين مستخدمي متجرها...

حقق موقع جوميا مبيعات بلغت 3 أضعاف ما تم تحقيقه خلال العام الماضي

أطلقت إنستجرام خاصيتين جديدتين للمستخدمين هما  التركيز على الوجه في وضع Focus portrait، وطريقة...

نرشح لك
«كوكب واحد لا يكفي».. دراسة تدق ناقوس الخطر: البشر يحتاجون ثروات 3 كواكب أخرى | المصري اليوم «كوكب واحد لا يكفي».. دراسة تدق ناقوس الخطر: البشر يحتاجون ثروات 3 كواكب أخرى | المصري اليوم Yalla Group Wins Dubai Games Star Award at MENA Games Industry Awards 2024 - ICT News Yalla Group Wins Dubai Games Star Award at MENA Games Industry Awards 2024 - ICT News مجموعة يلا تفوز بجائزة نجمة دبي للألعاب خلال حفل توزيع جوائز قطاع الألعاب في الشرق الأوسط وشمال أفريقيا 2024 - ICT News مجموعة يلا تفوز بجائزة نجمة دبي للألعاب خلال حفل توزيع جوائز قطاع الألعاب في الشرق الأوسط وشمال أفريقيا 2024 - ICT News اليوم .. زخة شهب إيتا الدلويات   اليوم .. زخة شهب إيتا الدلويات  

أهم أخبار تكنولوجيا

Comments

عاجل