Разработчики Joomla, являющейся на сегодня одной из наиболее востребованных у web-мастеров системой для создания профессиональных сайтов, представили обновление, устраняющее критический баг этой системы, предоставлявший злоумышленникам возможность провести удаленную SQL-инъекцию с целью хищения имеющейся в базе данных информации.

В зависимости от версий обновленная Joomla получила номера 3.2.3 и 2.5.19. Обновлениями были сняты две XSS-уязвимости, которые разработчики охарактеризовали как менее опасные, а также баг, вызывающий проблемы с неавторизованными логинами. При этом вышеупомянутую SQL-инъекцию закрыли в одной 3.2.3, поскольку, по заверению разработчиков прочие версии брешь не затронула, хотя более подробную информацию в команде Joomla предпочли не раскрывать.

Как считают пользователи сайта Toppu.Ru и эксперты секьюрити-агентства Sucuri, в представленном обновлении третьей версии Joomla дело идет об устранении «нулевого» бага, о котором представители Sucuri заявляли еще с февраля и, как отметил представитель агентства, в Sucuri весьма встревожены, что разработчикам Joomla понадобился целый месяц, чтобы устранить этот баг. Более того, такая медлительность уже стала причиной критики в адрес команды этой популярной CMS.

От разработчиков CMS Joomla пока не последовало комментариев на данное заявление.

Напомним, что согласно расследованию Sucuri, вышеуказанную SQL-инъекцию до ее выявления несколько месяцев активно использовали неизвестные киберзлоумышленники.