Açık kaynaklı içerik yönetim sistemi Joomla, son derece kritik bir SQL enjeksiyon açığını yayınladıkları bir yamayla giderdiklerini duyurdu. Joomla versiyon 3.2.3 güncellemesi olarak geçen yama sayesinde önem seviyesi kritik düzeyde olmayan 2 farklı XSS açığının ve yetkisiz giriş izni açığının da giderildiği söyleniyor. Buna karşın bazı güvenlik uzmanları Joomla’daki SQL enjeksiyon açığının 1 aydan beri bilindiğini ve yama yayınlamakta çok ağır davranıldığını açıklamaktalar.
PHP kodlama diliyle yazılan ve web içeriği hazırlamada oldukça başarılı bir açık kaynaklı içerik yönetim sistemi olarak görülen Joomla tüm dünyada yoğun bir kullanıma sahip. Temmuz 2013’te açıklanan rakamlara göre 35 milyon kez indirilen, Joomla! Extension Directory dizininde 6.000’in üzerinde ücretsiz ve ticari uzantıya sahip olan bu sistem WordPress’in ardından dünyanın en çok kullanılan içerik yönetim sistemi olarak tanımlanıyor. Ancak Joomla’daki güvenlik açıklarıı, pek çok web sitesinin risk altında olmasına yol açmış durumda. Şimdi SQL enjeksiyon açığı başta olmak üzere 4 farklı açığın yeni sürüme geçilerek yamandığı bildiriliyor ancak analistler Joomla’nın bu güncellemede geç kaldığı uyarısını yapıyorlar.
Joomla’dan yapılan açıklamada SQL enjeksiyonu açığı, 2 farklı XSS açığının ve yetkisiz giriş izni açığının giderildiği duyuruluyor. Bu açıkların hackerlar tarafından aktif olarak istismar edilip edilmediği konusunda herhangi bir açıklama yok. Buna karşın siber güvenlik analistleri, özellikle SQL enjeksiyonu açığının exploit-db.com gibi sitelerde 1 aydan beri tanımlı olduğuna dikkat çekerek güvenlik güncelleştirilmesinde ağır kalındığı uyarısını yapıyorlar. Güvenlik uzmanlarına göre güncelleme almayan ve Joomla 3.2.2 kullanan binlerce web sitesi ciddi bir risk altında olabilir.
Kaynak : 