Joomla исправила критическую уязвимость SQL-инъекции в релизе 3.7.1
Главная » Новости
Ландшафт киберугроз 2025: реальные атаки, тренды и практические выводыКиберугрозы становятся сложнее, а человекоуправляемые атаки остаются одним из ключевых рисков для бизнеса. В новом отчете — актуальные тренды и наиболее критичные сценарии. Ключевые инсайты обсудим на вебинаре: какие угрозы сегодня определяют ландшафт ИБ и как повысить устойчивость бизнеса. Участвуйте онлайн или смотрите в записи — она будет доступна всем зарегистрированным.→ Зарегистрироваться на вебинар
Реклама, 18+. АО «Лаборатория Касперского», ИНН 7713140469

Joomla исправила критическую уязвимость SQL-инъекции в релизе 3.7.1

Олег Иванов 18 Мая 2017 - 10:27
...
Joomla исправила критическую уязвимость SQL-инъекции в релизе 3.7.1

Выпущенное в среду обновление движка Joomla исправляет критическую уязвимость SQL-инъекций, которая может быть легко использована удаленным злоумышленником для получения конфиденциальных данных и взлома веб-сайтов.

Эта брешь была обнаружена экспертом Sucuri и получила идентификатор CVE-2017-8917. Уязвимость затрагивает версию Joomla 3.7.0, а в релизе 3.7.1 уже устранена.

По словам исследователя, уязвимость влияет только на Joomla 3.7, поскольку она связана с новым компонентом, представленным в этой версии. Речь идет о компоненте com_fields.

Поскольку com_fields является публичным, любой может использовать эту уязвимость, не имея привилегированной учетной записи на целевом сайте. Злоумышленник может эксплуатировать брешь для вставки вложенных SQL-запросов с помощью специально созданного URL-адреса.

«Учитывая природу атак SQL-инъекция, существует множество способов, которыми злоумышленник может нанести вред. Например, это может привести к утечке хэшей паролей и краже сеанса зарегистрированного пользователя. Последнее приведет к полной компрометации сайта, если получена сессия администратора» - предупреждает эксперт в своем блоге.

Пользователям Joomla рекомендуется как можно скорее обновить версию, используемую на их сайтах. Так как технические детали уязвимости уже были опубликованы в открытом доступе, не стоит удивляться росту числа атак, эксплуатирующих эту брешь.

Следующая главная новость »
AM LiveСамые свежие новости ИТ и ИБ. Обзоры, аналитика, анонсы главных ивентов отрасли.
Подписывайтесь на телеграм-канал!

Россиянам могут выставлять счета за зарубежный трафик даже без VPN
Екатерина Быстрова 29 Апреля 2026 - 19:12
Соответствие законодательству РФ Домашние пользователи Персональный VPNАнонимайзеры
Россиянам могут выставлять счета за зарубежный трафик даже без VPN

В России обсуждают отдельную тарификацию международного мобильного трафика. Идея, судя по документам Минцифры и комментариям отраслевых экспертов, связана с попытками ограничить использование VPN. Но есть нюанс: отличить VPN от обычного зарубежного трафика технически не так просто.

Эксперты, опрошенные «Фонтанкой», указывают на главную проблему: любой VPN — это международный трафик, но не любой международный трафик — это VPN.

Пользователь может просто открыть иностранный сайт, зайти в репозиторий Open Source, воспользоваться зарубежной библиотекой или даже обратиться к российскому ресурсу, а маршрут пакетов всё равно пройдёт через другие страны.

Например, трафик из Новосибирска к российскому сервису при определённых условиях может идти через Казахстан, Китай или Монголию. Маршрутизация зависит от множества факторов, и у пакетов данных нет понятного флажка гражданства.

Из-за этого отдельная плата за международный трафик может затронуть не только пользователей VPN. Под ударом рискуют оказаться жители приграничных регионов, разработчики, компании, использующие зарубежные сервисы, и обычные пользователи, у которых трафик неожиданно ушёл по внешнему маршруту.

Минцифры подтвердило, что механизм дополнительной тарификации международного трафика действительно находится в проработке. Пока речь идёт о мобильных сетях; про проводной интернет в ответе ведомства ничего не сказано. Конкретные параметры, включая лимиты и стоимость, ещё не определены.

Ранее обсуждался вариант с лимитом в 15 ГБ международного трафика в месяц. Всё, что выше, могло бы оплачиваться отдельно. Однако операторы попросили отсрочку: биллинговые системы не готовы быстро и точно учитывать такой трафик для миллионов абонентов.

В отрасли также не до конца понимают, что именно считать международным трафиком. Некоторые российские сервисы используют зарубежные IP-адреса или иностранные CDN, а часть пользователей направляет весь трафик через VPN без раздельного туннелирования. В таком случае формально зарубежным может стать почти весь интернет.

Остаётся открытым и вопрос, что делать при превышении лимита: снижать скорость, автоматически списывать деньги или отключать доступ. Без ясных правил такая схема может превратиться в неприятный сюрприз для абонентов.

Ранее Наталья Касперская объяснила, почему борьба с VPN только раззадорит разработчиков.

AM LiveСамые свежие новости ИТ и ИБ. Обзоры, аналитика, анонсы главных ивентов отрасли.
Подписывайтесь на телеграм-канал!
43% использующих ИИ компаний ищут с его помощью уязвимости
Новость
43% использующих ИИ компаний ищут с его помощью уязвимости
Некоторые районы Москвы остались без мобильной связи
Новость
Некоторые районы Москвы остались без мобильной связи
Toy Ghouls шифрует российские компании и требует выкуп с ехидными подколами
Новость
Toy Ghouls шифрует российские компании и требует выкуп с ехи...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.