Friday, August 22, 2008

Joomla 1.5.x Remote Admin Password Change

Sebuah exploit yang dirilis awal Agustus ini telah membuat para Admin pengguna Joomla (kayak gue :)) harus sedikit cemas. Tidak tanggung2 exploit tersebut mampu mengganti password Admin sang korban. Bagaimana cara kerjanya:
1. Ketikkan alamat:
target.com/index.php?option=com_user&view=reset&layout=confirm

2. Jika diminta token maka masukkan ' (tanda koma atas tunggal)

3. Masukkan password baru 2x

4. Silahkan login di target.com/administrator masukkan username admin (semoga blm diganti) dan password yang berhasil direset tadi, dan situs tersebut pun jadi milik Anda.

5.Selengkapnya lihat di http://www.milw0rm.com/exploits/6234. Exploit ini valid untuk Joomla versi 1.50 s/d 1.55

Nah untuk para Admin ayo jangan tidur aja, silahkan patch situs Anda (ambil patch yang cocok, upload dan ekstract) silahkan liat patch yang cocok di http://joomlacode.org/gf/project/joomla/frs/?action=FrsReleaseBrowse&frs_package_id=3883

Udah ya...jangan panjang2....