Un especialista en análisis de vulnerabilidades acaba de revelar una vulnerabilidad día cero en las versiones de Joomla!, el popular sistema de gestión de contenido (CMS) lanzadas entre septiembre de 2012 y diciembre de 2015. Según los reportes, la vulnerabilidad podría representar un severo riesgo para miles de sitios web en todo el mundo.
Puede que esta falla parezca demasiado antigua, pero en el caso de Joomla! esto podría ser irrelevante, pues la mayoría de los administradores de sitios web que usan este CMS no acostumbran actualizar el software por diversas razones, principalmente debido a los problemas de compatibilidad que muchos plugins presentan al actualizar este sistema.
Acorde a los especialistas en análisis de vulnerabilidades, explotar esta vulnerabilidad es realmente sencillo para un hacker promedio, pues sólo basta con una inyección de código PHP en la página de inicio del CMS para que el actor de amenazas sea capaz de ejecutar código remoto en el servidor.
Un informe más amplio, publicado en la plataforma especializada ZDNet, menciona que esta vulnerabilidad es muy parecida a la falla identificada como CVE-2015-8562, descubierta en 2015. En aquel entonces la vulnerabilidad causó serios problemas en miles de sitios web de todo el mundo.
No obstante, existe una diferencia determinante entre ambas fallas. La vulnerabilidad día cero recientemente descubierta sólo afecta a las versiones de la rama 3.x, mientras que CVE-2015-8562 afectaba a todas las versiones de Joomla! a partir de 1.5x, por lo que el alcance de la nueva falla es mucho menor.
Joomla! ya ha sido notificada y al parecer ya está disponible el parche de seguridad para esta falla. No obstante, como ya se ha mencionado, podría ser complicado que todos los administradores de sitios web en Joomla! decidan actualizar sus implementaciones a la brevedad.