Un messaggio sulla mailing list di sicurezza BugTraq ha messo in guardia tutti gli utilizzatori di Joomla su un grave bug presente nel popolare CMS open source.
Secondo quanto descritto nel bollettino tutte le versioni di Joomla, comprese l'ultima versione stabile 1.0.13 e la nuova 1.5 (fatta eccezione per la Release Candidate 4 da poco rilasciata) sono soggette a serie vulnerabilità .
L'attacco di tipo Cross-site request forgery permette a chiunque, senza bisogno di particolari privilegi, di aggiungere un nuovo Super Amministratore in un sito semplicemente facendo sì che un amministratore già esistente clicchi su un link.
Inoltre è possibile per chiunque caricare da remoto un'estensione, così da avere script PHP maligni sul server. Ma non è finita! E' anche possibile cambiare qualsiasi aspetto della configurazione principale del sito, compresa quella del database.
Il bollettino pubblicato su BugTraq evidenzia come da parte del Dev Team si sia avuta una pronta risposta, rilasciando una patch di sicurezza inclusa in Joomla 1.5 RC4.
Per quanto riguarda le versioni 1.0.x invece gli sviluppatori non hanno ancora corretto la vulnerabilità .
Maggiori informazioni sono disponibili nel forum ufficiale e nel forum italiano.