Vulnerabilidad del editor JCE de Joomla

Joomla[i] es uno de los CMS[ii] de mayor uso a nivel mundial. Desde el año 2011 fue detectada una vulnerabilidad en el editor de contenidos JCE[iii] de Joomla que permite subir a los sitios Web un fichero con extensión .gif (aparentemente una imagen) que en realidad es un  ejecutable con código PHP[iv] al que se le ha cambiado la extensión. Una vez en el servidor, al fichero se vuelve a poner (por comandos) la extensión original y puede  ejecutarse el código que contiene.

Esta vulnerabilidad aún es aprovechada para atacar sitios Web implementados  con este CMS, que tienen versiones obsoletas y vulnerables de JCE, para subir malware y crear puertas traseras. En Cuba se han detectado ataques que identifican y aprovechan esta falla de seguridad.

Para solucionar esta vulnerabilidad, y fortalecer la seguridad de sitios Web creados en Joomla, se recomienda:

  • Actualizar Joomla y JCE a las últimas versiones estables disponibles (esta práctica debe seguirse sistemáticamente para todas las extensiones utilizadas).
  • Proteger y prohibir la ejecución de ficheros en los directorios utilizados para subir  ficheros que no deban tener contenido ejecutable.

Más información en:

http://blog.unmaskparasites.com/2014/01/27/invasion-of-jce-bots/

https://www.trustwave.com/Resources/SpiderLabs-Blog/-Honeypot-Alert--JCE...

 

[i] Joomla: Sistema de Gestión de Contenidos (CMS por sus siglas en inglés) que permite crear sitios Web dinámicos. Fue lanzado en el año 2005 y es un software de código abierto, desarrollado en el lenguaje de programación PHP.

[ii] CMS: Content Management System (Sistema de Gestión de Contenidos). Aplicación informática que permite crear una estructura de soporte para la creación y administración de contenidos en la Web.

[iii] JCE: Joomla Content Editor. Aplicación que facilita la creación y edición de contenidos en el ambiente del CMS Joomla. Posee funciones similares a las de Office de Microsoft para la edición,  y permite subir, renombrar y eliminar imágenes en los contenidos del sitio.

[iv] PHP: Lenguaje de programación diseñado para el desarrollo de sitios Web dinámicos. El código php es interpretado y ejecutado en el servidor Web.

Español