My Car

Обнаруженны уязвимости в Joomla-компоненте «My Car». Они позволяют удаленному пользователю устраивать XSS-атаки и выполнять произвольные SQL-команды в базе данных расширения.

Уязвимость существует из-за недостаточной обработки входных данных в параметре «modveh» в сценарии index.php, в случаях, когда параметр «option» принимает значение «com_mycar» и параметр «task» принимает значение «1». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в интернет-обозревателе жертвы в контексте безопасности уязвимого сайта.

Причина второй уязвимости — в недостаточной обработке входных данных в параметре «pagina» в сценарии index.php, в случаях, когда параметр «option» принимает значение «com_mycar» и параметр «task» принимает значение «1». Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL-команды в базе данных приложения.

BF Quiz

Joomla-компонент «BF Quiz 1.3.0» (возможно и более ранние версии) — уязвим. Уязвимость позволяет удаленному пользователю выполнить произвольные SQL-команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в параметре «catid» в сценарии index.php, в случаях, когда параметр «option» равен «com_bfquiztrial».

Решение: установить последнюю версию 1.3.1 с сайта производителя.

Источники:

• http://www.xenuser.org/documents/security/joomla_com_mycar_multiple_vulnerabilities.txt
• http://xenuser.org/documents/security/joomla_com_bfquiz_sqli.txt
• http://www.tamlyncreative.com.au/software/forum/index.php?topic=729.0