گزارش حفره امنیتی در NextGen Editor جوملا

NextGenEditor صفحه ساز قدرتمند است که به شما کمک می کند به راحتی سایت جوملا خود را ایجاد کنید. این افزونه جوملا رایگان شامل inlineediting، یک pagebuilder و ۴۰ ویدجت برای جوملا است!



متاسفانه هم اکنون این ابزار در آخرین ورژن منتشر شده خود ۲٫۱٫۰ هم اکنون حفره امنیتی SQL-Injection می باشد.



این حرفه امنیتی در مورخ Published: 2017-12-19 در دسترس عموم قرار گرفته است و در سایت Exploit DB در دسترس می باشد.



هکر با کمک گرفتن از حفره امنیتی SQL Injection در این پلاگین اجازه میگیرد که کد های SQL خود را تزریق کند:



http://localhost/[PATH]/index.php?option=com_nge&view=config&plname=[SQL
در صورتیکه از این پلاگین استقاده می کنید در حال حاظر بهترین کار جایگزین کردن این Editor با editor دیگری جهت جلوگیری از بروز مشکلات امنیتی می باشد.





منبع :
https://blog.iranserver.com/nextgen-editor/